| Title | GetarcaneのArcaneにおける認証の欠如に関する脆弱性 |
|---|---|
| Summary | ArcaneはDockerコンテナ、イメージ、ネットワーク、およびボリュームを管理するためのインターフェースです。バージョン1.18.0以前では、ArcaneのHumaバックエンドの/api/templates*配下の4つのGETエンドポイントがセキュリティ要件なしで登録されており、認証されていないネットワーククライアントがインスタンスに保存されているすべてのカスタムテンプレートの完全なCompose YAMLおよび.envの内容を一覧および読み取ることが可能でした。ArcaneのUIはプロジェクトやswarm-stack作成ページで「テンプレートとして保存」機能を提供しており、オペレーターの実際のenv内容(データベースパスワード、APIキーなど)をそのまま保存します。この認可が欠落していることで、実際に未認証のままオペレーターの秘密情報が読み取られ、理論的な情報漏洩ではありません。フロントエンドは/customize/templates/*を認証済みエリアとして明示的に扱っており(frontend/src/lib/utils/redirect.util.tsのPROTECTED_PREFIXES)、同じパスに対するすべてのCRUD操作(POST/PUT/DELETE)はBearer/APIキーを要求します。これは明確なバックエンドの認可ギャップであり、意図された公開アクセスではありません。この問題はバージョン1.18.0で修正されました。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 9, 2026, midnight |
| Registration Date | May 18, 2026, 11:30 a.m. |
| Last Update | May 18, 2026, 11:30 a.m. |
| CVSS3.0 : 重要 | |
| Score | 7.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Getarcane |
| Arcane 1.18.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月18日] 掲載 |
May 18, 2026, 11:30 a.m. |
| Summary | Arcane is an interface for managing Docker containers, images, networks, and volumes. Prior to version 1.18.0, four GET endpoints under /api/templates* in Arcane's Huma backend are registered without any Security requirement, allowing any unauthenticated network client to list and read the full Compose YAML and .env content of every custom template stored in the instance. Because Arcane's UI exposes a "Save as Template" flow on the project / swarm-stack creation pages that persists the operator's real env content (database passwords, API keys, etc.) verbatim, this missing authorization is an unauthenticated read of operator secrets in practice — not a theoretical info-disclosure. The frontend explicitly treats /customize/templates/* as an authenticated area (PROTECTED_PREFIXES in frontend/src/lib/utils/redirect.util.ts), and every CRUD operation (POST/PUT/DELETE) on the same paths requires a Bearer/API key, so this is a clear backend authorization gap, not intended public access. This issue has been patched in version 1.18.0. |
|---|---|
| Publication Date | May 9, 2026, 1:16 p.m. |
| Registration Date | May 10, 2026, 4:10 a.m. |
| Last Update | May 16, 2026, 4:18 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:getarcane:arcane:*:*:*:*:*:*:*:* | 1.18.0 | ||||