【高危漏洞】CVE-2026-23944:Arcane 未授权远程环境代理漏洞
漏洞概述
Arcane 是一个用于管理 Docker 容器、镜像、网络和卷的界面工具。在版本 1.13.2 之前,其环境代理中间件在处理 /api/environments/{id}/... 类型的请求时,未对用户身份进行验证即直接将请求代理至远程环境代理,并附带了服务端持有的代理令牌。这导致未经身份验证的攻击者可绕过认证机制,直接访问或操控远程环境中的资源,如列出容器、读取日志等,存在高风险的数据泄露与未授权操作隐患。
漏洞详情
- CVE 编号:CVE-2026-23944
- 漏洞类型:未授权访问(CWE-306: Missing Authentication for Critical Function)
- CVSS 评分:8.0(HIGH)
- 影响版本:Arcane < 1.13.2
影响范围
所有使用 Arcane 版本低于 1.13.2 的部署环境,尤其是配置了远程环境代理功能的实例,均受此漏洞影响。攻击者无需任何身份凭证即可通过网络发起请求,利用该漏洞访问远程 Docker 环境资源。
风险分析
由于漏洞允许未经身份验证的远程攻击者通过代理接口直接与远程环境代理通信,攻击者可执行如列出容器、获取日志、甚至可能触发其他代理端点的操作。虽然当前未报告可直接导致远程代码执行的利用方式,但高完整性与高机密性影响表明,攻击者可造成敏感信息泄露、配置篡改或服务中断,严重威胁系统安全。
修复建议
- 立即升级 Arcane 至 1.13.2 或更高版本,该版本已修复此认证绕过问题。
- 若暂时无法升级,建议在网络层限制对
/api/environments/路径的外部访问,仅允许可信 IP 访问管理接口,作为临时缓解措施。
