Pvtsec

Nome do Software Vulnerável e Versões Afetadas Versões do Arcane anteriores à 1.13.2 Descrição O Arcane, uma interface para gerenciar contêineres Docker, imagens, redes e volumes, apresentava uma vulnerabilidade na qual solicitações não autenticadas poderiam ser encaminhadas para agentes de ambiente remoto, concedendo acesso aos recursos do ambiente remoto sem autenticação adequada. O middleware de proxy de ambiente processava solicitações para ambientes remotos por meio do endpoint de API `/api/environments/{id}/...` antes que a autenticação fosse aplicada. Especificamente, quando o ID do ambiente (`id`) não era local, o middleware encaminhava a solicitação, anexando o token do agente mantido pelo gerenciador, mesmo sem autenticação do chamador. Isso permitia que um atacante não autenticado acessasse e manipulasse recursos do ambiente remoto por meio do proxy, possivelmente resultando em exposição de dados, modificações não autorizadas ou interrupção do serviço. Recomendações Atualize para a versão 1.13.2 ou posterior.