Arcane: Missing admin authorization on global variables endpoint — CVE-2026-47125

GitHub · GitHub · CVE-2026-47125

ID
CVE-2026-47125

Date
2026-05-23

Activity
2026-05-23

Source
GitHub

Fournisseur
GitHub

Risque
high

CVSS
8.8

Résumé

## Summary The `PUT /api/environments/{id}/templates/variables` endpoint, which writes the system-wide `.env.global` file used for variable substitution in every project's compose file, is missing an admin authorization check. Any authenticated non-admin user can call this endpoint with their bearer token or API key and overwrite the global environment variables that are merged into every project deployment. By…

Produit

go: github.com/getarcaneapp/arcane/backend

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.