Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Traefik (CVE-2026-32305)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
20/03/2026
Última modificación:
20/03/2026

Descripción

Traefik es un proxy inverso HTTP y balanceador de carga. Las versiones 2.11.40 e inferiores, 3.0.0-beta1 hasta 3.6.11, y 3.7.0-ea.1 son vulnerables a un bypass de mTLS a través de la lógica de pre-sniffing de SNI de TLS relacionada con paquetes ClientHello fragmentados. Cuando un ClientHello de TLS se fragmenta en múltiples registros, la extracción de SNI de Traefik puede fallar con un EOF y devolver un SNI vacío. El router TCP entonces recurre a la configuración TLS predeterminada, que no requiere certificados de cliente por defecto. Esto permite a un atacante saltarse la aplicación de mTLS a nivel de ruta y acceder a servicios que deberían requerir autenticación TLS mutua. Este problema está parcheado en las versiones 2.11.41, 3.6.11 y 3.7.0-ea.2.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Ninguno

Puntuación base 4.0
7.80
Gravedad 4.0
ALTA

Referencias a soluciones, herramientas e información