Kmendell

**Nome do Software Vulnerável e Versões Afetadas** Arcane versões anteriores a 1.18.0 **Descrição** Quatro endpoints 'GET' sob "/api/templates*" no backend Huma estão registrados sem requisitos de segurança. Essa falha de autorização permite que qualquer cliente de rede não autenticado liste e leia todo o conteúdo do Compose YAML e do arquivo `.env` de cada modelo personalizado armazenado na instância. Como a interface do usuário persiste o conteúdo real do ambiente—como senhas de banco de dados e chaves de API—literalmente durante o fluxo "Save as Template", isso permite a leitura não autenticada de segredos do operador. Os endpoints afetados incluem "/templates", "/templates/all", "/templates/{id}" e "/templates/{id}/content". **Recomendações** Atualizar para a versão 1.18.0.