CVE-2026-30930
CriticalSummary
Glances to narzędzie do monitorowania systemów, które przed wersją 4.5.1 miało moduł eksportu TimescaleDB, który konstruował zapytania SQL za pomocą konkatenacji łańcuchów z niesanitowanymi danymi monitorowania systemu. Metoda normalize() otacza wartości łańcuchowe pojedynczymi cudzysłowami, ale nie ucieka od osadzonych pojedynczych cudzysłowów, co umożliwia łatwe wstrzykiwanie SQL.
Risk Assessment
Podatność ta pozwala atakującym na wstrzykiwanie złośliwego kodu SQL poprzez kontrolowane dane, co może prowadzić do nieautoryzowanego dostępu do bazy danych lub jej manipulacji. Organizacje powinny być świadome ryzyka związanego z wykorzystaniem niesanitowanych danych w zapytaniach SQL.
Recommendation
Zaleca się aktualizację do wersji 4.5.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto wdrożyć praktyki sanitizacji danych wejściowych w celu ochrony przed wstrzyknięciami SQL.
Original NVD description (English source)
Glances is an open-source system cross-platform monitoring tool. Prior to 4.5.1, The TimescaleDB export module constructs SQL queries using string concatenation with unsanitized system monitoring data. The normalize() method wraps string values in single quotes but does not escape embedded single quotes, making SQL injection trivial via attacker-controlled data such as process names, filesystem mount points, network interface names, or container names. This vulnerability is fixed in 4.5.1.

