CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-47179

High
Published: Translated: NVD NIST

Summary

Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersjach przed 1.19.4, metoda ProjectService.GetProjectFileContent zwracała zawartość dowolnej dyrektywy include z pliku compose projektu przed przeprowadzeniem walidacji ścieżek, co umożliwiało atakującemu odczytanie plików systemowych.

Risk Assessment

Zagrożenie polega na możliwości odczytu dowolnych plików dostępnych dla procesu backendowego Arcane, w tym wrażliwych danych, takich jak hasła użytkowników i klucze API, co może prowadzić do eskalacji uprawnień oraz zdalnego wykonania kodu na hoście.

Recommendation

Zaleca się aktualizację do wersji 1.19.4 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji ścieżek w plikach compose.

Original NVD description (English source)

Arcane is an interface for managing Docker containers, images, networks, and volumes. Prior to 1.19.4, ProjectService.GetProjectFileContent returns the contents of any Docker Compose include directive declared in a project's compose file before any path-traversal validation runs. Because ProjectService.CreateProject writes attacker-supplied compose content to disk without validating include paths, an authenticated user can create a project whose compose file declares include: ['../../../../etc/passwd'], then read the include via the project file API. The result is arbitrary read of any file readable by the Arcane backend process, including /app/data/arcane.db (the SQLite database containing every user's password hash and API key), enabling escalation to admin and, via Arcane's Docker control plane, RCE on the host. This vulnerability is fixed in 1.19.4.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS