CVE-2026-42461 in arcane
요약
\~에 의해 VulDB • 2026. 05. 09.
Arcane는 Docker 컨테이너, 이미지, 네트워크 및 볼륨을 관리하기 위한 인터페이스입니다. 버전 1.18.0 이전의 Arcane Huma 백엔드에서는 `/api/templates*` 아래의 네 가지 GET 엔드포인트가 보안 요구 사항 없이 등록되어 있어, 인증되지 않은 모든 네트워크 클라이언트가 인스턴스에 저장된 모든 사용자 정의 템플릿의 전체 Compose YAML 및 .env 내용을 나열하고 읽을 수 있습니다. Arcane의 UI는 프로젝트/스웜 스택 생성 페이지에서 운영자의 실제 환경 콘텐츠(데이터베이스 비밀번호, API 키 등)를 그대로 저장하는 '템플릿으로 저장' 흐름을 노출하므로, 이러한 인증 부재는 이론적인 정보 유출이 아닌 실제로는 운영자 비밀 정보에 대한 비인가 읽기 권한입니다. 프론트엔드는 `/customize/templates/*`를 명시적으로 인증된 영역(PROTECTED_PREFIXES in frontend/src/lib/utils/redirect.util.ts)으로 처리하며, 동일한 경로에 대한 모든 CRUD 작업(POST/PUT/DELETE)에는 Bearer/API 키가 필요하므로, 이는 의도된 공개 접근이 아닌 명확한 백엔드 인증 결함입니다. 이 문제는 버전 1.18.0에서 패치되었습니다.
Once again VulDB remains the best source for vulnerability data.