Krytyczna luka w Arcane do zarządzania Docker - nieautoryzowany dostęp do poświadczeń Git

Arcane przed 1.19.0 narażony na atak umożliwiający wykradzenie poświadczeń Git przez nieautoryzowanych użytkowników. Zalecana szybka aktualizacja.
CVE-2026-45625CVSS 9.9Containers

Krytyczna luka w Arcane do zarządzania Docker - nieautoryzowany dostęp do poświadczeń Git

Arcane przed 1.19.0 narażony na atak umożliwiający wykradzenie poświadczeń Git przez nieautoryzowanych użytkowników. Zalecana szybka aktualizacja.

CVSS
9.9 CRITICAL
EPSS
30.76%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Arcane, narzędzie do zarządzania kontenerami Docker, przed wersją 1.19.0 umożliwia użytkownikom z podstawową rolą dostęp do krytycznych endpointów API GitOps bez odpowiedniej weryfikacji uprawnień. Luka pozwala na wykradzenie poświadczeń Git w postaci tekstu jawnego poprzez manipulację konfiguracją repozytorium.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.9) umożliwia nieautoryzowanym użytkownikom modyfikację konfiguracji repozytoriów Git oraz kradzież tokenów dostępu i kluczy SSH. Może to prowadzić do poważnych naruszeń bezpieczeństwa, w tym przejęcia kontroli nad repozytoriami kodu źródłowego i dalszych ataków na infrastrukturę IT. Operatorzy środowisk korzystających z Arcane powinni pilnie zweryfikować swoje wersje i zabezpieczenia.

Rekomendowane działania administratora

Zaleca się natychmiastową aktualizację Arcane do wersji 1.19.0 lub nowszej, w której luka została załatana. Do czasu aktualizacji ogranicz dostęp do interfejsu API tylko do zaufanych administratorów, przeglądnij logi pod kątem podejrzanych działań związanych z repozytoriami Git oraz zweryfikuj konfiguracje repozytoriów pod kątem nieautoryzowanych zmian. Wdrożenie dodatkowych mechanizmów kontroli dostępu i monitoringu jest wskazane.

Źródła