CVE-2026-23520

Nome do Software Vulnerável e Versões Afetadas Versões do Arcane anteriores à 1.13.0

Descrição O serviço de atualização do Arcane permite definir comandos para execução antes ou após atualizações de contêineres utilizando rótulos de ciclo de vida com.getarcaneapp.arcane.lifecycle.pre-update e com.getarcaneapp.arcane.lifecycle.post-update. O valor desses rótulos é passado diretamente para /bin/sh -c sem a devida validação, criando uma vulnerabilidade de injeção de comando. Qualquer usuário autenticado pode criar projetos via API e especificar comandos maliciosos dentro desses rótulos de ciclo de vida. Quando um administrador aciona uma atualização de contêiner, o Arcane executa o comando dentro do contêiner. Se o contêiner possuir montagens de volume do host, o comando executado pode acessar o sistema de arquivos do host, potencialmente levando ao roubo de dados ou comprometimento total do host caso caminhos sensíveis como /var/run/docker.sock estejam montados. A falha permite a execução remota de código (RCE) no contexto do contêiner.

Recomendações Versões anteriores à 1.13.0 devem ser atualizadas para a versão 1.13.0 ou posterior.