CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45626

Medium
Published: Translated: NVD NIST

Summary

Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersji 1.18.1 i wcześniejszych, endpoint GET /environments/{id}/volumes/{volumeName}/browse akceptuje parametr zapytania, który jest przekazywany do polecenia powłoki, co pozwala na wykonanie dowolnych poleceń przez uwierzytelnionego użytkownika.

Risk Assessment

Organizacja narażona jest na wykonanie nieautoryzowanych poleceń w kontenerze pomocniczym przez użytkowników z dostępem do przeglądanych wolumenów, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Recommendation

Zaleca się aktualizację Arcane do wersji 1.18.2 lub nowszej, aby zlikwidować tę podatność oraz ograniczenie dostępu do przeglądanych wolumenów tylko dla zaufanych użytkowników.

Original NVD description (English source)

Arcane is an interface for managing Docker containers, images, networks, and volumes. In 1.18.1 and earlier, GET /environments/{id}/volumes/{volumeName}/browse accepts a path query parameter that is passed to a shell command (sh -c "find … | while …") inside an Arcane helper container. The path sanitiser blocks ../ traversal but does not strip Bourne-shell metacharacters such as $() or backticks, and strconv.Quote only escapes Go string metacharacters, not shell substitution sequences. Any authenticated user with access to a browseable volume can execute arbitrary commands inside the helper container; command output is reflected back in the 500 error body.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS