Arcane provides modern docker management. Prior to 1.13.0, Arcane has a command injection in the updater service. Arcane’s updater service supported lifecycle labels com.getarcaneapp.arcane.lifecycle.pre-update and com.getarcaneapp.arcane.lifecycle.post-update that allowed defining a command to run before or after a container update. The label value is passed directly to /bin/sh -c without sanitization or validation. Because any authenticated user (not limited to administrators) can create projects through the API, an attacker can create a project that specifies one of these lifecycle labels with a malicious command. When an administrator later triggers a container update (either manually or via scheduled update checks), Arcane reads the lifecycle label and executes its value as a shell command inside the container. This vulnerability is fixed in 1.13.0.
Arcane Docker management service prior to version 1.13.0 contains a command injection vulnerability in the updater service through unsanitized lifecycle labels. Authenticated users can inject arbitrary shell commands that execute with container privileges when administrators trigger updates.
تحتوي خدمة التحديث في Arcane على ثغرة حقن أوامر حرجة حيث يتم تمرير قيم التسميات مباشرة إلى /bin/sh -c دون تعقيم. يمكن لأي مستخدم مصرح بإنشاء مشاريع عبر API إدراج أوامر ضارة تُنفذ عند تشغيل التحديثات من قبل المسؤولين.
خدمة إدارة Docker في Arcane قبل الإصدار 1.13.0 تحتوي على ثغرة حقن أوامر في خدمة التحديث عبر تسميات غير معقمة. يمكن للمستخدمين المصرحين بحقن أوامر shell عشوائية تُنفذ بامتيازات الحاوية عند قيام المسؤولين بتشغيل التحديثات.
Upgrade Arcane to version 1.13.0 or later immediately. Implement input validation and sanitization for all lifecycle labels. Restrict API project creation permissions to trusted administrators only. Review and audit existing projects for malicious lifecycle labels. Implement network segmentation to limit container execution scope.
قم بترقية Arcane إلى الإصدار 1.13.0 أو أحدث فوراً. طبق التحقق من صحة المدخلات والتعقيم لجميع تسميات دورة الحياة. قيد أذونات إنشاء مشاريع API للمسؤولين الموثوقين فقط. راجع وتدقيق المشاريع الموجودة للتحقق من التسميات الضارة. طبق تقسيم الشبكة لتحديد نطاق تنفيذ الحاوية.