CVE-2026-42461 in arcaneinformación

Resumen

por VulDB • 2026-05-23

Arcane es una interfaz para gestionar contenedores, imágenes, redes y volúmenes de Docker. Antes de la versión 1.18.0, cuatro puntos de acceso GET bajo /api/templates* en el backend Huma de Arcane están registrados sin ningún requisito de seguridad, lo que permite que cualquier cliente de red no autenticado liste y lea el contenido completo de los archivos Compose YAML y .env de cada plantilla personalizada almacenada en la instancia. Dado que la interfaz de usuario de Arcane expone un flujo "Guardar como plantilla" en las páginas de creación de proyectos / swarm-stack que persiste el contenido real del entorno del operador (contraseñas de bases de datos, claves de API, etc.) de forma literal, esta falta de autorización constituye en la práctica una lectura no autenticada de secretos del operador, y no una divulgación de información meramente teórica. El frontend trata explícitamente /customize/templates/* como un área autenticada (PROTECTED_PREFIXES en frontend/src/lib/utils/redirect.util.ts), y cada operación CRUD (POST/PUT/DELETE) en las mismas rutas requiere un token Bearer o una clave de API, por lo que se trata claramente de una brecha de autorización en el backend, no de un acceso público intencionado. Este problema ha sido corregido en la versión 1.18.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-27

Divulgación

2026-05-09

Moderación

aceptado

Artículo

VDB-362367

CPE

listo

EPSS

0.00044

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42461
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42461
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42461/

AnteriorVisión De ConjuntoPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!