Vulnerabilidad en Traefik (CVE-2026-26998)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/03/2026
Última modificación:
06/03/2026
Descripción
Traefik es un proxy inverso HTTP y un balanceador de carga. Antes de las versiones 2.11.38 y 3.6.9, existe una posible vulnerabilidad en Traefik al gestionar las respuestas del middleware ForwardAuth. Cuando Traefik está configurado para usar el middleware ForwardAuth, el cuerpo de la respuesta del servidor de autenticación se lee completamente en la memoria sin ningún límite de tamaño. No existe una configuración maxResponseBodySize para restringir la cantidad de datos leídos de la respuesta del servidor de autenticación. Si el servidor de autenticación devuelve un cuerpo de respuesta inesperadamente grande o ilimitado, Traefik asignará memoria ilimitada, lo que podría causar una condición de falta de memoria (OOM) que bloquee el proceso. Esto resulta en una denegación de servicio para todas las rutas servidas por la instancia de Traefik afectada. Este problema ha sido parcheado en las versiones 2.11.38 y 3.6.9.
Impacto
Puntuación base 3.x
4.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:* | 2.11.38 (excluyendo) | |
| cpe:2.3:a:traefik:traefik:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.6.9 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página