CVE-2026-45627
HighSummary
Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersjach przed 1.19.0, nieautoryzowany endpoint GET /api/app-images/logo odzwierciedla parametr zapytania koloru dostarczony przez użytkownika w treści dokumentu SVG, co pozwala na wstrzyknięcie złośliwego kodu JavaScript.
Risk Assessment
Atakujący może wykorzystać tę podatność do przejęcia konta administratora, co prowadzi do pełnej kompromitacji systemu. Wykonanie złośliwego skryptu może umożliwić dostęp do wrażliwych danych, w tym tokenów sesji.
Recommendation
Zaleca się aktualizację do wersji 1.19.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wprowadzić odpowiednie nagłówki zabezpieczeń, takie jak Content-Security-Policy i X-Content-Type-Options.
Original NVD description (English source)
Arcane is an interface for managing Docker containers, images, networks, and volumes. Prior to 1.19.0, the unauthenticated GET /api/app-images/logo endpoint reflects a user-supplied color query parameter into the body of an SVG document via strings.ReplaceAll with no escaping. The substitution lands inside a <style> element of the embedded logo.svg, allowing an attacker to close the style block and inject executable <script> content. Because the response is served as image/svg+xml and Arcane sets no Content-Security-Policy or X-Content-Type-Options headers, navigating a logged-in admin victim to a crafted URL executes attacker-controlled JavaScript in Arcane's origin and rides the victim's HttpOnly JWT cookie to fully compromise the admin account. This vulnerability is fixed in 1.19.0.

