CVE-2026-47125 in arcane
요약
\~에 의해 VulDB • 2026. 05. 30.
Arcane는 Docker 컨테이너, 이미지, 네트워크 및 볼륨을 관리하기 위한 인터페이스입니다. 1.19.2 이전 버전에서, 모든 프로젝트의 compose 파일에서 변수 치환에 사용되는 전역 .env.global 파일을 작성하는 PUT /api/environments/{id}/templates/variables 엔드포인트에는 관리자 권한 확인이 누락되어 있습니다. 인증된 비관리자 사용자는 자신의 Bearer 토큰 또는 API 키를 사용하여 이 엔드포인트를 호출하고 모든 프로젝트 배포에 병합되는 전역 환경 변수를 덮어쓸 수 있습니다. compose 파일에서 다른 사용자가 ${VAR} 형식으로 참조하는 REGISTRY, IMAGE, DATABASE_URL, SECRET_KEY 등의 값을 재정의함으로써 공격자는 이미지 풀을 공격자가 통제하는 레지스트리로 리디렉션하여 Docker 호스트에서 공급망 기반 원격 코드 실행(Supply-chain RCE)을 유발하거나, 데이터베이스 자격 증명을 유출하거나, 모든 프로젝트를 중단시킬 수 있습니다. 이 취약점은 1.19.2에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.