CVE-2026-47125

Nome do Software Vulnerável e Versões Afetadas Arcane versões anteriores a 1.19.2

Descrição O endpoint "PUT /api/environments/{id}/templates/variables", utilizado para gravar o arquivo .env.global de todo o sistema para substituição de variáveis em arquivos compose de projetos, carece de uma verificação de autorização de administrador. Qualquer usuário autenticado que não seja administrador pode usar seu token bearer ou chave de API para sobrescrever variáveis de ambiente globais mescladas em cada implantação de projeto. Ao manipular variáveis como REGISTRY, IMAGE, DATABASE URL ou SECRET KEY, um invasor pode redirecionar a extração de imagens para registros maliciosos, levando à execução remota de código (RCE) de cadeia de suprimentos no host Docker, exfiltrar credenciais de banco de dados ou interromper todos os projetos. Além disso, a função UpdateGlobalVariables() não sanitiza adequadamente quebras de linha em chaves, permitindo a injeção arbitrária de chaves no arquivo .env.global.

Recomendações Atualize para a versão 1.19.2. Como medida paliativa temporária, restrinja o acesso ao endpoint "PUT /api/environments/{id}/templates/variables" apenas a administradores autorizados.