CVE-2026-45625

Nome do Software Vulnerável e Versões Afetadas Arcane versões anteriores a 1.19.0

Descrição O Arcane expõe inadequadamente endpoints de gerenciamento de repositórios Git para qualquer usuário autenticado, permitindo que contas com baixos privilégios modifiquem configurações de repositórios, exfiltrem credenciais Git armazenadas, acessem conteúdos de repositórios privados e adulterem implantações de GitOps. O problema decorre do fato de a API REST baseada em huma não chamar a função auxiliar checkAdmin(ctx) em oito de nove endpoints sob '/api/customize/git-repositories' e '/api/git-repositories/sync'. Embora o middleware de autenticação verifique se o usuário está logado, ele não impõe a função de administrador para esses manipuladores específicos.

Um invasor com a função padrão user pode usar a função UpdateRepository para alterar a URL de um repositório para um host sob seu controle, preservando as credenciais criptografadas. Ao chamar subsequentemente os endpoints '/test', '/branches' ou '/files', o sistema descriptografa o Token de Acesso Pessoal (PAT) ou a chave SSH legítima e a transmite para o host do invasor via autenticação HTTP Basic ou SSH. Isso permite a exfiltração de credenciais em texto claro, potencial comprometimento da cadeia de suprimentos ao trocar URLs de repositórios por forks maliciosos e negação de serviço ao excluir configurações de produção.

Recomendações Atualize para a versão 1.19.0. Como medida paliativa temporária, restrinja o acesso aos endpoints '/api/customize/git-repositories' e '/api/git-repositories/sync' a intervalos de rede confiáveis ou desative-os caso não sejam necessários.