CVE-2026-47179 in arcaneالمعلومات

الملخص

بحسب VulDB • 29/05/2026

Arcane هو واجهة لإدارة حاويات Docker وصورها وشبكتها وأحجامها. قبل الإصدار 1.19.4، كانت الدالة `ProjectService.GetProjectFileContent` تُرجع محتويات أي توجيه `include` في ملف Docker Compose المُعرّف في المشروع، وذلك قبل تشغيل أي تحقق من سلامة المسار (path-traversal validation). ونظراً لأن `ProjectService.CreateProject` يكتب محتوى Compose الذي يزوده المهاجم إلى القرص دون التحقق من مسارات التضمين، يمكن لمستخدم مُصادق عليه إنشاء مشروع يُعرّف ملف Compose الخاص به بتوجيه `include: ['../../../../etc/passwd']`، ثم قراءة الملف المُضمّن عبر واجهة برمجة التطبيقات الخاصة بملف المشروع. يؤدي ذلك إلى قراءة تعسفية لأي ملف يمكن للقراءة بواسطة عملية الخلفية (backend process) الخاصة بـ Arcane، بما في ذلك `/app/data/arcane.db` (قاعدة بيانات SQLite التي تحتوي على تجزئات كلمات مرور كل مستخدم ومفاتيح API)، مما يمكّن من التصعيد إلى صلاحيات المسؤول (admin)، ومن خلال لوحة تحكم Docker الخاصة بـ Arcane، تحقيق تنفيذ كود عن بُعد (RCE) على المضيف. تم إصلاح هذا الثغرة الأمنية في الإصدار 1.19.4.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

18/05/2026

إفشاء

29/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-367323

CPE

جاهز

CWE

CWE-22 (مؤكد)

CVSS

7.7 (CNA)

EPSS

0.00050

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-47179
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-47179
CVE Details	https://www.cvedetails.com/cve/CVE-2026-47179/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!