CVE-2026-45626
ŚrednieStreszczenie
Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersji 1.18.1 i wcześniejszych, endpoint GET /environments/{id}/volumes/{volumeName}/browse akceptuje parametr zapytania, który jest przekazywany do polecenia powłoki, co pozwala na wykonanie dowolnych poleceń przez uwierzytelnionego użytkownika.
Ocena ryzyka
Organizacja narażona jest na wykonanie nieautoryzowanych poleceń w kontenerze pomocniczym przez użytkowników z dostępem do przeglądanych wolumenów, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację Arcane do wersji 1.18.2 lub nowszej, aby zlikwidować tę podatność oraz ograniczenie dostępu do przeglądanych wolumenów tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Arcane is an interface for managing Docker containers, images, networks, and volumes. In 1.18.1 and earlier, GET /environments/{id}/volumes/{volumeName}/browse accepts a path query parameter that is passed to a shell command (sh -c "find … | while …") inside an Arcane helper container. The path sanitiser blocks ../ traversal but does not strip Bourne-shell metacharacters such as $() or backticks, and strconv.Quote only escapes Go string metacharacters, not shell substitution sequences. Any authenticated user with access to a browseable volume can execute arbitrary commands inside the helper container; command output is reflected back in the 500 error body.

