Arcane - это интерфейс для управления контейнерами Docker, изображениями, сетями и объемами. До 1.19.0 химический REST API Arcane обнажает …

Arcane - это интерфейс для управления контейнерами Docker, изображениями, сетями и объемами. До 1.19.0 химический REST API Arcane обнажает девять конечных точек под /api/customize/git-repositories и /api/git-repositories/sync для управления хранилищами источников GitOps и их хранимыми учетными данных. Восемь из этих конечных точек (список, создание, получение, обновление, удаление, тестирование, ветви списков, просмотров файлов) никогда не вызывают помощника checkAdmin (ctx), который использует любой другой управляемый ресурс (контейнерные реестры, среды, пользователи, ключи API, рой, настройки, системы, уведомления, события), а промежуточный аппарат huma authentication намеренно обеспечивает только аутентификацию. В результате любой зарегистрированный пользователь с ролью пользователя по умолчанию может перечислять, создавать, изменять, удалять и тестировать конфигурации хранилища git. Перенаправляя URL существующего хранилища на управляемый злоумышленником хост при опускании полей токенов/sshKey (которые UpdateRepository только перепишет при явном поставке), злоумышленник заставляет Arcane расшифровку законного ключа PAT/SSH на своем следующем /тесте /вификациях или /файлах вызова и представить его как HTTP Basic auth (или SSH-ключ). Эта уязвимость зафиксирована в 1.19.0.