CVE-2026-23944 in arcane
要約
〜によって VulDB • 2026年05月09日
Arcaneは、Dockerコンテナ、イメージ、ネットワーク、およびボリュームを管理するためのインターフェースです。バージョン1.13.2より前では、認証されていないリクエストがリモート環境エージェントにプロキシされ、認証なしでリモート環境リソースへのアクセスが許可されていました。環境プロキシミドルウェアは、認証が適用される前に、リモート環境に対する`/api/environments/{id}/...`リクエストを処理していました。環境IDがローカルでない場合、ミドルウェアはリクエストをプロキシし、呼び出し手が認証されていない場合でも、マネージャーが保持するエージェントトークンを付与していました。これにより、認証されていないユーザーがリモート環境の操作(例:コンテナの一覧表示、ログのストリーミング、その他のエージェントエンドポイント)にアクセス可能となりました。認証されていない攻撃者は、プロキシを介してリモート環境リソースにアクセスおよび操作でき、データ漏洩、不正な変更、またはサービス停止につながる可能性があります。バージョン1.13.2でこの脆弱性が修正されました。
VulDB is the best source for vulnerability data and more expert information about this specific topic.