प्लेटफ़ॉर्म
docker
घटक
arcane
में ठीक किया गया
1.17.4
Arcane एक Docker कंटेनर, इमेज, नेटवर्क और वॉल्यूम को प्रबंधित करने के लिए एक इंटरफ़ेस है। 1.17.3 से पहले, /api/templates/fetch एंडपॉइंट एक कॉलर-सप्लाई किए गए URL पैरामीटर को स्वीकार करता है और बिना प्रमाणीकरण और URL स्कीम या होस्ट सत्यापन के उस URL पर सर्वर-साइड HTTP GET अनुरोध करता है। सर्वर की प्रतिक्रिया सीधे कॉलर को वापस कर दी जाती है, जिससे SSRF भेद्यता उत्पन्न होती है। यह भेद्यता Arcane के किसी भी सार्वजनिक रूप से सुलभ इंस्टेंस को प्रभावित करती है। 1.17.3 में यह भेद्यता ठीक की गई है।
Arcane में CVE-2026-40242 भेद्यता, Docker कंटेनरों, छवियों, नेटवर्क और वॉल्यूम को प्रबंधित करने वाले उपकरण में, एक प्रमाणीकरण रहित सर्वर-साइड रिक्वेस्ट फ़ॉर्जरी (SSRF) भेद्यता का परिचय कराता है। 1.17.3 से पहले के संस्करणों में, /api/templates/fetch एंडपॉइंट कॉलर द्वारा प्रदान किए गए URL पैरामीटर को स्वीकार करता है और URL योजना या होस्ट के सत्यापन के बिना, उस URL के लिए सर्वर-साइड HTTP GET अनुरोध करता है। सर्वर की प्रतिक्रिया सीधे कॉलर को वापस कर दी जाती है। यह एक हमलावर को प्रमाणीकरण के बिना Arcane सर्वर को आंतरिक या बाहरी संसाधनों के लिए अनुरोध करने के लिए मजबूर करने की अनुमति देता है, जिससे संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है या अन्य प्रणालियों के साथ बातचीत हो सकती है।
यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि Arcane का उपयोग अक्सर विकास और परिनियोजन वातावरण में किया जाता है, जहां इसकी महत्वपूर्ण आंतरिक संसाधनों तक पहुंच हो सकती है। एक हमलावर इस भेद्यता का उपयोग आंतरिक नेटवर्क को उजागर सेवाओं की तलाश में स्कैन करने, गोपनीय फ़ाइलों को पढ़ने या Arcane सर्वर पर मनमाना कोड निष्पादित करने के लिए कर सकता है यदि उसके पास अन्य संसाधनों तक पहुंच है। प्रमाणीकरण की कमी शोषण को सरल बनाती है और व्यापक हमलावरों के लिए सुलभ बनाती है।
Organizations utilizing Arcane for Docker container management, particularly those with publicly accessible Arcane instances or those running Arcane within environments with sensitive internal resources, are at significant risk. Shared hosting environments where Arcane is deployed alongside other applications are also vulnerable.
• linux / server:
journalctl -u arcane | grep '/api/templates/fetch'• generic web:
curl -I <arcane_instance_url>/api/templates/fetch?url=<internal_resource>• generic web:
grep -i '/api/templates/fetch' /var/log/apache2/access.logdisclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.02% (6% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने का समाधान Arcane को संस्करण 1.17.3 या उच्चतर में अपग्रेड करना है। यह संस्करण उपयोगकर्ता द्वारा प्रदान किए गए URL पर उचित URL सत्यापन को लागू करके समस्या को ठीक करता है, जिससे अनधिकृत अनुरोधों को रोका जा सकता है। इसके अतिरिक्त, Arcane को संवेदनशील संसाधनों से अलग करने के लिए नेटवर्क और सुरक्षा कॉन्फ़िगरेशन की समीक्षा करें। Arcane लॉग की संदिग्ध गतिविधि के लिए निगरानी करना भी अनुशंसित है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) को तैनात करना जो आने वाले अनुरोधों को फ़िल्टर करता है और उन अनुरोधों को ब्लॉक करता है जो इस भेद्यता का फायदा उठाने का प्रयास करते हैं, एक अस्थायी उपाय के रूप में काम कर सकता है।
Arcane को संस्करण 1.17.3 या उससे ऊपर के संस्करण में अपडेट करें ताकि SSRF (SSRF) भेद्यता को कम किया जा सके। यह अपडेट /api/templates/fetch एंडपॉइंट में URL सत्यापन की कमी को ठीक करता है, जिससे हमलावरों को सर्वर के माध्यम से मनमाने HTTP अनुरोध करने से रोका जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
एक SSRF (सर्वर-साइड रिक्वेस्ट फ़ॉर्जरी) हमला तब होता है जब एक हमलावर सर्वर को उन संसाधनों के लिए अनुरोध करने के लिए मजबूर कर सकता है जिन तक सर्वर को नहीं पहुंचना चाहिए, चाहे आंतरिक हो या बाहरी।
यह भेद्यता एक हमलावर को आपके Arcane सर्वर के माध्यम से गोपनीय जानकारी तक पहुंचने या अन्य प्रणालियों के साथ बातचीत करने की अनुमति देती है, जिससे संभावित रूप से सुरक्षा उल्लंघन हो सकता है।
आने वाले अनुरोधों को फ़िल्टर करने और Arcane लॉग की संदिग्ध गतिविधि की निगरानी करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) लागू करें।
भेद्यता स्कैनर इस भेद्यता का पता लगा सकते हैं, लेकिन उन्हें अपडेट रखना महत्वपूर्ण है।
आप NVD (राष्ट्रीय भेद्यता डेटाबेस) जैसे भेद्यता डेटाबेस में CVE-2026-40242 के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Dockerfile फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।