CVE-2026-42461 — 神龙十问 AI 深度分析摘要
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
- **本质**:Arcane ≤1.17.x 后端 `/api/templates*` 的 GET 接口 🚨**无授权校验** - **后果**:未认证用户可读**全部自定义 Compose YAML + .env** 💣 - **风险**:直接泄露**数据库密码、API 密钥**等敏感信息 🧨
Q2根本原因?(CWE/缺陷点)
- **缺陷点**:后端 GET 方法未配置访问控制 🛑 - **矛盾设计**:前端 `PROTECTED_PREFIXES` 已标记路径需保护 🤯 - **类似 CWE-862**:缺少授权检查 🔍 - **核心问题**:授权逻辑仅在前端实现,后端裸奔 ⚠️
Q3影响谁?(版本/组件)
- **影响版本**:Arcane **< 1.18.0** ⏳ - **影响组件**:Huma 后端的 `/api/templates*` GET 端点 📌 - **涉及功能**:`保存为模板` → 持久化 .env 内容 💾
Q4黑客能干啥?(权限/数据)
- **无需登录** 🚪 - **可列目录 & 读文件** 📂 - **拿到完整 Compose 配置** 🧾 - **提取 .env 中的密钥/密码** 🔑 - **横向渗透/接管服务风险** 🕵️♂️
Q5利用门槛高吗?(认证/配置)
- **极低门槛** 🟢 - **无认证要求** ❌ - **任意网络客户端可触发** 🌐 - **只需发 GET 请求** 📡
Q6有现成Exp吗?(PoC/在野利用)
- **暂无 PoC** 📭 - **无在野利用报告** 📉 - **但原理简单,易构造请求** ⚙️ - **风险:手快者先捡漏** 🎯
Q7怎么自查?(特征/扫描)
- **特征**:调用 `/api/templates*` GET 接口返回 YAML/.env 🔍 - **自查方式**: - 用 curl 匿名请求 🖥️ - 看是否返回含 `environment:` 或 `KEY=VALUE` 内容 🧪 - **检查版本**:确认是否 < 1.18.0 📌
Q8官方修了吗?(补丁/缓解)
- **已修复** ✅ - **修复版本**:**1.18.0** 🛡️ - **发布链接**:[Release v1.18.0](https://github.com/getarcaneapp/arcane/releases/tag/v1.18.0) - **安全公告**:[GHSA-cxx3-hr75-4q96](https://github.com/getarcaneapp/arcane/security/advisories/G…
Q9没补丁咋办?(临时规避)
- **立即升级**到 ≥1.18.0 🚀(首选) - **临时规避**: - 限制 `/api/templates*` 的网络访问 🚧 - 加反向代理鉴权层 🔐 - 删除已存含敏感信息的模板 🗑️ - **监控异常读取行为** 👁️
Q10急不急?(优先级建议)
- **极高危** 🚨 - **优先级 MAX** 🔥 - **原因**:零门槛拿密钥 💣 - **建议**:立刻查版本 → 升补丁 → 清敏感模板 ⏱️