CVE-2026-42461

Nome do Software Vulnerável e Versões Afetadas Arcane versões anteriores a 1.18.0

Descrição Quatro endpoints 'GET' sob "/api/templates*" no backend Huma estão registrados sem requisitos de segurança. Essa falha de autorização permite que qualquer cliente de rede não autenticado liste e leia todo o conteúdo do Compose YAML e do arquivo .env de cada modelo personalizado armazenado na instância. Como a interface do usuário persiste o conteúdo real do ambiente—como senhas de banco de dados e chaves de API—literalmente durante o fluxo "Save as Template", isso permite a leitura não autenticada de segredos do operador. Os endpoints afetados incluem "/templates", "/templates/all", "/templates/{id}" e "/templates/{id}/content".

Recomendações Atualizar para a versão 1.18.0.