CVE-2026-45627

Nome do Software Vulnerável e Versões Afetadas Arcane versões anteriores a 1.19.0

Description O endpoint não autenticado 'GET /api/app-images/logo' reflete um parâmetro de consulta color fornecido pelo usuário no corpo de um documento SVG usando strings.ReplaceAll sem a devida sanitização. Essa substituição ocorre dentro de um elemento <style> do logo.svg incorporado, permitindo que um invasor feche o bloco de estilo e injete conteúdo <script> executável. Como a resposta é servida como image/svg+xml e carece de cabeçalhos de Content-Security-Policy ou X-Content-Type-Options, um invasor pode induzir um administrador autenticado a visitar uma URL maliciosa. Isso executa JavaScript controlado pelo invasor na origem da aplicação, utilizando o cookie JWT HttpOnly da vítima para comprometer totalmente a conta de administrador. Isso pode levar à criação de contas de administrador não autorizadas, acesso a segredos e controle sobre hosts Docker conectados.

Recommendations Atualize para a versão 1.19.0. Como mitigação temporária, restrinja o acesso ao endpoint 'GET /api/app-images/logo'. Implemente o cabeçalho X-Content-Type-Options: nosniff em todas as respostas. Aplique uma Content-Security-Policy (CSP) nas respostas de imagens SVG, como default-src 'none'; style-src 'unsafe-inline'; img-src 'self' data:.