CVE-2026-47125 in arcaneinformación

Resumen

por VulDB • 2026-05-30

Arcane es una interfaz para gestionar contenedores, imágenes, redes y volúmenes de Docker. Antes de la versión 1.19.2, el punto de conexión PUT /api/environments/{id}/templates/variables, que escribe el archivo .env.global a nivel del sistema utilizado para la sustitución de variables en el archivo compose de cada proyecto, carece de una comprobación de autorización de administrador. Cualquier usuario autenticado no administrador puede llamar a este punto de conexión con su token bearer o clave API y sobrescribir las variables de entorno globales que se fusionan en cada implementación de proyecto. Al sobrescribir valores como REGISTRY, IMAGE, DATABASE_URL o SECRET_KEY a los que otros usuarios hacen referencia mediante ${VAR} en los archivos compose, un atacante puede redirigir las descargas de imágenes a registros controlados por el atacante (RCE en la cadena de suministro en el host de Docker), exfiltrar credenciales de bases de datos o interrumpir todos los proyectos. Esta vulnerabilidad está corregida en la versión 1.19.2.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-18

Divulgación

2026-05-29

Moderación

aceptado

Artículo

VDB-367322

CPE

listo

EPSS

0.00039

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-47125
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-47125
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-47125/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!