CVE-2026-47125
WysokieStreszczenie
Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersjach przed 1.19.2, punkt końcowy PUT /api/environments/{id}/templates/variables nie sprawdzał autoryzacji administratora, co pozwalało uwierzytelnionym użytkownikom niebędącym administratorami na nadpisywanie globalnych zmiennych środowiskowych.
Ocena ryzyka
Brak odpowiedniej autoryzacji może prowadzić do poważnych zagrożeń, takich jak przekierowanie pobierania obrazów do złośliwych rejestrów, wyciek danych uwierzytelniających do bazy danych lub zakłócenie działania wszystkich projektów.
Rekomendacja
Zaleca się aktualizację do wersji 1.19.2 lub nowszej, aby zabezpieczyć się przed tą podatnością oraz wdrożenie dodatkowych mechanizmów autoryzacji dla punktów końcowych API.
Oryginalny opis (angielski, źródło NVD)
Arcane is an interface for managing Docker containers, images, networks, and volumes. Prior to 1.19.2, the PUT /api/environments/{id}/templates/variables endpoint, which writes the system-wide .env.global file used for variable substitution in every project's compose file, is missing an admin authorization check. Any authenticated non-admin user can call this endpoint with their bearer token or API key and overwrite the global environment variables that are merged into every project deployment. By overriding values like REGISTRY, IMAGE, DATABASE_URL, or SECRET_KEY that other users reference via ${VAR} in compose files, an attacker can redirect image pulls to attacker-controlled registries (supply-chain RCE on the Docker host), exfiltrate database credentials, or disrupt all projects. This vulnerability is fixed in 1.19.2.

