CVE-2026-47179
WysokieStreszczenie
Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersjach przed 1.19.4, metoda ProjectService.GetProjectFileContent zwracała zawartość dowolnej dyrektywy include z pliku compose projektu przed przeprowadzeniem walidacji ścieżek, co umożliwiało atakującemu odczytanie plików systemowych.
Ocena ryzyka
Zagrożenie polega na możliwości odczytu dowolnych plików dostępnych dla procesu backendowego Arcane, w tym wrażliwych danych, takich jak hasła użytkowników i klucze API, co może prowadzić do eskalacji uprawnień oraz zdalnego wykonania kodu na hoście.
Rekomendacja
Zaleca się aktualizację do wersji 1.19.4 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów walidacji ścieżek w plikach compose.
Oryginalny opis (angielski, źródło NVD)
Arcane is an interface for managing Docker containers, images, networks, and volumes. Prior to 1.19.4, ProjectService.GetProjectFileContent returns the contents of any Docker Compose include directive declared in a project's compose file before any path-traversal validation runs. Because ProjectService.CreateProject writes attacker-supplied compose content to disk without validating include paths, an authenticated user can create a project whose compose file declares include: ['../../../../etc/passwd'], then read the include via the project file API. The result is arbitrary read of any file readable by the Arcane backend process, including /app/data/arcane.db (the SQLite database containing every user's password hash and API key), enabling escalation to admin and, via Arcane's Docker control plane, RCE on the host. This vulnerability is fixed in 1.19.4.

