CVE-2026-46606
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
Glances to narzędzie do monitorowania systemów, które przed wersją 4.5.5 miało lukę w silniku monitorowania KVM/QEMU. Nazwy domen VM były przekazywane do szablonów poleceń bez odpowiedniego oczyszczania, co pozwalało na wykonanie dowolnych poleceń przez użytkowników mogących tworzyć lub zmieniać maszyny wirtualne.
Ocena ryzyka
Użytkownicy z dostępem do tworzenia lub zmiany maszyn wirtualnych mogą uzyskać dostęp do systemu operacyjnego, na którym działa Glances, co stwarza poważne zagrożenie dla bezpieczeństwa, zwłaszcza gdy Glances działa z uprawnieniami roota.
Rekomendacja
Zaleca się aktualizację Glances do wersji 4.5.5 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć ograniczenie uprawnień użytkowników do tworzenia i zmiany maszyn wirtualnych.
Oryginalny opis (angielski, źródło NVD)
Glances is an open-source system cross-platform monitoring tool. Prior to 4.5.5, the Glances KVM/QEMU monitoring engine (glances/plugins/vms/engines/virsh.py) passes VM domain names, read directly from virsh list --all output, into f-string command templates that are processed by secure_popen(). secure_popen() is explicitly designed to interpret &&, |, and > as shell operators. Because domain names are never sanitised before interpolation, any user with the ability to create or rename a KVM/QEMU virtual machine can execute arbitrary commands as the OS user running Glances — commonly root on hypervisor hosts. This vulnerability is fixed in 4.5.5.

