CVE-2022-23632 - 漏洞详情

CVE-2022-23632 (CNNVD-202202-1402)

HIGH

中文标题:

Containous Traefik 信任管理问题漏洞

英文标题:

Traefik skips the router TLS configuration when the host header is an FQDN

CVSS分数: 7.4

发布时间: 2022-02-17 14:55:10

漏洞类型: 信任管理问题

状态: PUBLISHED

数据质量分数: 0.30

数据版本: v3

漏洞描述

中文描述:

Containous Traefik是美国Containous公司的一款反向代理和负载平衡器。 Containous Traefik 存在信任管理问题漏洞，该漏洞源于当使用由配置了专用 TLS 配置的路由器处理的 FQDN 发送请求时，TLS 配置回退到可能与配置的配置不对应的默认配置。

英文描述:

Traefik is an HTTP reverse proxy and load balancer. Prior to version 2.6.1, Traefik skips the router transport layer security (TLS) configuration when the host header is a fully qualified domain name (FQDN). For a request, the TLS configuration choice can be different than the router choice, which implies the use of a wrong TLS configuration. When sending a request using FQDN handled by a router configured with a dedicated TLS configuration, the TLS configuration falls back to the default configuration that might not correspond to the configured one. If the CNAME flattening is enabled, the selected TLS configuration is the SNI one and the routing uses the CNAME value, so this can skip the expected TLS configuration. Version 2.6.1 contains a patch for this issue. As a workaround, one may add the FDQN to the host rule. However, there is no workaround if the CNAME flattening is enabled.

CWE类型:

CWE-295

受影响产品

厂商	产品	版本	版本范围	平台	CPE
traefik	traefik	< 2.6.1	-	-	`cpe:2.3:a:traefik:traefik:<_2.6.1:::::::*`
traefik	traefik	*	-	-	`cpe:2.3:a:traefik:traefik::::::::`
oracle	communications_unified_inventory_management	7.5.0	-	-	`cpe:2.3:a:oracle:communications_unified_inventory_management:7.5.0:::::::*`

解决方案

中文解决方案:

（暂无数据）

英文解决方案:

（暂无数据）

临时解决方案:

（暂无数据）

参考链接

无标题 x_refsource_CONFIRM
cve.org

访问

无标题 x_refsource_MISC
cve.org

访问

无标题 x_refsource_MISC
cve.org

访问

无标题 x_refsource_MISC
cve.org

访问

CVSS评分详情

3.1 (cna)

HIGH

7.4

CVSS向量: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

机密性

HIGH

完整性

HIGH

可用性

NONE

时间信息

发布时间:

2022-02-17 14:55:10

修改时间:

2025-04-23 19:02:55

创建时间:

2025-11-11 15:37:20

更新时间:

2025-11-11 15:57:08

利用信息

暂无可利用代码信息

数据源详情

数据源	记录ID	版本	提取时间
CVE	`cve_CVE-2022-23632`	2025-11-11 15:21:18	2025-11-11 07:37:20
NVD	`nvd_CVE-2022-23632`	2025-11-11 14:58:14	2025-11-11 07:45:36
CNNVD	`cnnvd_CNNVD-202202-1402`	2025-11-11 15:10:49	2025-11-11 07:57:08

版本与语言

当前版本: v3

主要语言: EN

支持语言:

EN ZH

安全公告

暂无安全公告信息

变更历史

v3 CNNVD

2025-11-11 15:57:08

vulnerability_type: 未提取 → 信任管理问题; cnnvd_id: 未提取 → CNNVD-202202-1402; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']

查看详细变更

vulnerability_type: 未提取 -> 信任管理问题
cnnvd_id: 未提取 -> CNNVD-202202-1402
data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']

v2 NVD

2025-11-11 15:45:36

affected_products_count: 1 → 3; data_sources: ['cve'] → ['cve', 'nvd']

查看详细变更

affected_products_count: 1 -> 3
data_sources: ['cve'] -> ['cve', 'nvd']

CVE-2022-23632 (CNNVD-202202-1402)

中文标题:

Containous Traefik 信任管理问题漏洞

英文标题:

Traefik skips the router TLS configuration when the host header is an FQDN

漏洞描述

中文描述:

英文描述:

CWE类型:

标签:

受影响产品

解决方案

中文解决方案:

英文解决方案:

临时解决方案:

参考链接

CVSS评分详情

3.1 (cna)

时间信息

利用信息

数据源详情

版本与语言

安全公告

变更历史