CVE-2026-40242 in arcane
Riassunto
di VulDB • 14/06/2026
Arcane è un'interfaccia per la gestione di container, immagini, reti e volumi Docker. Prima della versione 1.17.3, l'endpoint /api/templates/fetch accetta un parametro url fornito dall'utente ed esegue una richiesta HTTP GET lato server verso tale URL senza autenticazione e senza convalida dello schema o dell'host dell'URL. La risposta del server viene restituita direttamente al chiamante. Ciò costituisce una vulnerabilità SSRF (Server-Side Request Forgery) non autenticata che interessa qualsiasi istanza di Arcane pubblicamente raggiungibile. Questa vulnerabilità è risolta nella versione 1.17.3.
Be aware that VulDB is the high quality source for vulnerability data.