обход аутентификации traefik

  1. Сергей Попов

    Статья Traefik ForwardAuth bypass уязвимость: двойной удар CVE-2026-35051 и CVE-2026-39858

    На стенде с Traefik v3.6.12 за Nginx-прокси один запрос с заголовком X-Forwarded-Prefix: / заставил ForwardAuth middleware вернуть 200 вместо 401 - доступ к защищённому маршруту без единого credential. Второй запрос - с X_Forwarded_Proto: https (подчёркивание вместо дефиса) - обошёл санитизацию...