CVE-2026-23520
KrytyczneStreszczenie
Arcane, system zarządzania kontenerami Docker, przed wersją 1.13.0 miał podatność na wstrzykiwanie poleceń w usłudze aktualizacji. Usługa ta obsługiwała etykiety cyklu życia, które pozwalały na definiowanie poleceń do uruchomienia przed lub po aktualizacji kontenera, jednak wartość etykiety była przekazywana bez sanitizacji.
Ocena ryzyka
Każdy uwierzytelniony użytkownik mógł stworzyć projekt z złośliwym poleceniem, co stwarzało ryzyko wykonania nieautoryzowanych komend w kontenerze przez administratora podczas aktualizacji. To może prowadzić do poważnych naruszeń bezpieczeństwa w organizacji.
Rekomendacja
Zaleca się aktualizację Arcane do wersji 1.13.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wprowadzić ograniczenia w tworzeniu projektów przez użytkowników oraz monitorować użycie etykiet cyklu życia.
Oryginalny opis (angielski, źródło NVD)
Arcane provides modern docker management. Prior to 1.13.0, Arcane has a command injection in the updater service. Arcane’s updater service supported lifecycle labels com.getarcaneapp.arcane.lifecycle.pre-update and com.getarcaneapp.arcane.lifecycle.post-update that allowed defining a command to run before or after a container update. The label value is passed directly to /bin/sh -c without sanitization or validation. Because any authenticated user (not limited to administrators) can create projects through the API, an attacker can create a project that specifies one of these lifecycle labels with a malicious command. When an administrator later triggers a container update (either manually or via scheduled update checks), Arcane reads the lifecycle label and executes its value as a shell command inside the container. This vulnerability is fixed in 1.13.0.

