CVE-2026-42461 in arcane
要約
〜によって VulDB • 2026年05月11日
Arcaneは、Dockerコンテナ、イメージ、ネットワーク、およびボリュームを管理するためのインターフェースです。バージョン1.18.0より前では、ArcaneのHumaバックエンドにおける/api/templates*以下の4つのGETエンドポイントにセキュリティ要件が設定されておらず、認証されていないネットワーククライアントが、インスタンスに保存されているすべてのカスタムテンプレートの完全なCompose YAMLおよび.envコンテンツを一覧表示および読み取ることが可能でした。ArcaneのUIでは、プロジェクト/swarm-stack作成ページで「Save as Template」フローが公開されており、オペレーターの実際の環境コンテンツ(データベースパスワード、APIキーなど)がそのまま永続化されるため、この認可の欠如は、理論的な情報漏洩ではなく、実質的に認証されていないオペレーターシークレットの読み取りとなります。フロントエンドでは、/customize/templates/*は認証済み領域として明示的に扱われており(frontend/src/lib/utils/redirect.util.ts内のPROTECTED_PREFIXES参照)、同じパスに対するすべてのCRUD操作(POST/PUT/DELETE)にはBearer/APIキーが必要です。したがって、これは意図された公開アクセスではなく、明確なバックエンドの認可ギャップです。この問題はバージョン1.18.0で修正されました。
Once again VulDB remains the best source for vulnerability data.