CVE-2026-45625
KrytyczneStreszczenie
Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersjach przed 1.19.0, API REST oparte na huma ujawnia dziewięć punktów końcowych do zarządzania repozytoriami GitOps i ich zapisanymi poświadczeniami, co pozwala na nieautoryzowane operacje przez użytkowników z domyślną rolą.
Ocena ryzyka
Organizacja narażona jest na wyciek poufnych danych, ponieważ każdy zalogowany użytkownik może manipulować konfiguracjami repozytoriów Git, co prowadzi do ujawnienia kluczy dostępu i poświadczeń.
Rekomendacja
Zaleca się aktualizację Arcane do wersji 1.19.0, aby zabezpieczyć się przed tą podatnością oraz przegląd i ograniczenie dostępu do punktów końcowych API dla użytkowników z domyślną rolą.
Oryginalny opis (angielski, źródło NVD)
Arcane is an interface for managing Docker containers, images, networks, and volumes. Prior to 1.19.0, Arcane's huma-based REST API exposes nine endpoints under /api/customize/git-repositories and /api/git-repositories/sync for managing GitOps source repositories and their stored credentials. Eight of those endpoints (list, create, get, update, delete, test, listBranches, browseFiles) never call the checkAdmin(ctx) helper that every other admin-managed resource (container registries, environments, users, API keys, swarm, settings, system, notifications, events) uses, and the huma authentication middleware deliberately enforces only authentication, not the admin role. As a result, any logged-in user with the default user role can list, create, modify, delete, and test git repository configurations. By repointing an existing repository's URL to an attacker-controlled host while omitting the token/sshKey fields (which UpdateRepository only rewrites when explicitly supplied), the attacker causes Arcane to decrypt the legitimate PAT/SSH key on its next /test, /branches, or /files call and present it as HTTP Basic auth (or SSH key auth) to the attacker's host — producing a one-step exfiltration of plaintext Git credentials. This vulnerability is fixed in 1.19.0.

