CVE-2026-45625: Критична уразливість у Arcane дозволяє викрадення Git облікових даних

Критична уразливість у Arcane до 1.19.0 дозволяє викрадення Git облікових даних через недоліки в API. Оновіть до 1.19.0 для захисту.
CVE-2026-45625CVSS 9.9Containers

CVE-2026-45625: Критична уразливість у Arcane дозволяє викрадення Git облікових даних

Критична уразливість у Arcane до 1.19.0 дозволяє викрадення Git облікових даних через недоліки в API. Оновіть до 1.19.0 для захисту.

CVSS
9.9 CRITICAL
EPSS
30.76%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У Arcane до версії 1.19.0 виявлено критичну уразливість, що дозволяє будь-якому автентифікованому користувачу з роллю користувача отримувати доступ до Git репозиторіїв без адміністративних прав. Зловмисник може викрасти відкриті Git облікові дані шляхом перенаправлення URL репозиторію на контрольований хост.

Бізнес-вплив

Ця уразливість створює серйозну загрозу безпеці для організацій, які використовують Arcane для управління Docker контейнерами та GitOps репозиторіями. Зловмисник може отримати доступ до конфіденційних Git облікових даних, що може призвести до компрометації коду, витоку даних та порушення цілісності інфраструктури. ІТ-оператори повинні терміново оцінити вплив і вжити заходів для захисту середовища.

Рекомендовані дії адміністратора

Адміністраторам рекомендується негайно оновити Arcane до версії 1.19.0 або новішої, де уразливість виправлена. Якщо оновлення неможливе, слід обмежити доступ до відповідних API-ендпоінтів, переглянути журнали доступу на предмет підозрілої активності, а також перевірити конфігурації Git репозиторіїв на предмет змін URL. Важливо також посилити контроль доступу та розглянути тимчасове обмеження ролей користувачів.

Джерела