製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

GetarcaneのArcaneにおける認証の欠如に関する脆弱性

タイトル	GetarcaneのArcaneにおける認証の欠如に関する脆弱性
概要	ArcaneはDockerコンテナ、イメージ、ネットワーク、およびボリュームを管理するためのインターフェースです。バージョン1.18.0以前では、ArcaneのHumaバックエンドの/api/templates配下の4つのGETエンドポイントがセキュリティ要件なしで登録されており、認証されていないネットワーククライアントがインスタンスに保存されているすべてのカスタムテンプレートの完全なCompose YAMLおよび.envの内容を一覧および読み取ることが可能でした。ArcaneのUIはプロジェクトやswarm-stack作成ページで「テンプレートとして保存」機能を提供しており、オペレーターの実際のenv内容（データベースパスワード、APIキーなど）をそのまま保存します。この認可が欠落していることで、実際に未認証のままオペレーターの秘密情報が読み取られ、理論的な情報漏洩ではありません。フロントエンドは/customize/templates/を認証済みエリアとして明示的に扱っており（frontend/src/lib/utils/redirect.util.tsのPROTECTED_PREFIXES）、同じパスに対するすべてのCRUD操作（POST/PUT/DELETE）はBearer/APIキーを要求します。これは明確なバックエンドの認可ギャップであり、意図された公開アクセスではありません。この問題はバージョン1.18.0で修正されました。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月9日0:00
登録日	2026年5月18日11:30
最終更新日	2026年5月18日11:30

CVSS3.0 : 重要
スコア	7.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

影響を受けるシステム

Getarcane

Arcane 1.18.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-42461	https://www.cve.org/CVERecord?id=CVE-2026-42461
National Vulnerability Database (NVD)
2	CVE-2026-42461	https://nvd.nist.gov/vuln/detail/CVE-2026-42461

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-862	https://cwe.mitre.org/data/definitions/862.html

ベンダー情報

No	名前	URL
GitHub
1	Unauthenticated Disclosure of Custom Compose Template Content (incl. `.env` secrets) Advisory getarcaneapp/arcane GitHub	https://github.com/getarcaneapp/arcane/security/advisories/GHSA-cxx3-hr75-4q96

その他

No	名前	URL
関連文書
1	Release v1.18.0 getarcaneapp/arcane GitHub	https://github.com/getarcaneapp/arcane/releases/tag/v1.18.0

変更履歴

No	変更内容	変更日
1	[2026年05月18日] 掲載	2026年5月18日11:30

NVD脆弱性情報

CVE-2026-42461

概要	Arcane is an interface for managing Docker containers, images, networks, and volumes. Prior to version 1.18.0, four GET endpoints under /api/templates* in Arcane's Huma backend are registered without any Security requirement, allowing any unauthenticated network client to list and read the full Compose YAML and .env content of every custom template stored in the instance. Because Arcane's UI exposes a "Save as Template" flow on the project / swarm-stack creation pages that persists the operator's real env content (database passwords, API keys, etc.) verbatim, this missing authorization is an unauthenticated read of operator secrets in practice — not a theoretical info-disclosure. The frontend explicitly treats /customize/templates/* as an authenticated area (PROTECTED_PREFIXES in frontend/src/lib/utils/redirect.util.ts), and every CRUD operation (POST/PUT/DELETE) on the same paths requires a Bearer/API key, so this is a clear backend authorization gap, not intended public access. This issue has been patched in version 1.18.0.
公表日	2026年5月9日13:16
登録日	2026年5月10日4:10
最終更新日	2026年5月16日4:18

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:getarcane:arcane::::::::					1.18.0

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/getarcaneapp/arcane/releases/tag/v1.18.0	security-advisories@github.com
2	https://github.com/getarcaneapp/arcane/security/advisories/GHSA-cxx3-hr75-4q96	security-advisories@github.com

共通脆弱性一覧