CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-23520

Critical
Published: Translated: NVD NIST

Summary

Arcane, system zarządzania kontenerami Docker, przed wersją 1.13.0 miał podatność na wstrzykiwanie poleceń w usłudze aktualizacji. Usługa ta obsługiwała etykiety cyklu życia, które pozwalały na definiowanie poleceń do uruchomienia przed lub po aktualizacji kontenera, jednak wartość etykiety była przekazywana bez sanitizacji.

Risk Assessment

Każdy uwierzytelniony użytkownik mógł stworzyć projekt z złośliwym poleceniem, co stwarzało ryzyko wykonania nieautoryzowanych komend w kontenerze przez administratora podczas aktualizacji. To może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.

Recommendation

Zaleca się aktualizację Arcane do wersji 1.13.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wprowadzić ograniczenia w tworzeniu projektów przez użytkowników oraz monitorować użycie etykiet cyklu życia.

Original NVD description (English source)

Arcane provides modern docker management. Prior to 1.13.0, Arcane has a command injection in the updater service. Arcane’s updater service supported lifecycle labels com.getarcaneapp.arcane.lifecycle.pre-update and com.getarcaneapp.arcane.lifecycle.post-update that allowed defining a command to run before or after a container update. The label value is passed directly to /bin/sh -c without sanitization or validation. Because any authenticated user (not limited to administrators) can create projects through the API, an attacker can create a project that specifies one of these lifecycle labels with a malicious command. When an administrator later triggers a container update (either manually or via scheduled update checks), Arcane reads the lifecycle label and executes its value as a shell command inside the container. This vulnerability is fixed in 1.13.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS