Katalog CVE

CVE-2026-46608

WysokieCVSS 7.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.40%

Percentyl 32 — wyżej niż 32% wszystkich znanych CVE

Streszczenie

W narzędziu Glances przed wersją 4.5.5 wykryto podatność w serwerze XML-RPC. Gdy lista dozwolonych źródeł CORS (cors_origins) zawiera więcej niż jeden wpis, implementacja błędnie ustawia nagłówek Access-Control-Allow-Origin na *, co pozwala na dostęp z dowolnego źródła. Złośliwa strona internetowa może w ten sposób odczytać pełny zestaw danych monitorowania systemu bez wiedzy ofiary.

Ocena ryzyka

Organizacja ryzykuje nieautoryzowany wyciek wrażliwych danych systemowych (np. obciążenie CPU, pamięć, procesy) do zewnętrznych, potencjalnie złośliwych stron internetowych, co może naruszyć poufność i bezpieczeństwo infrastruktury IT.

Rekomendacja

Należy niezwłocznie zaktualizować Glances do wersji 4.5.5 lub nowszej. Jeśli aktualizacja nie jest możliwa, tymczasowo ogranicz dostęp do serwera XML-RPC za pomocą zapory sieciowej lub skonfiguruj listę cors_origins z jednym wpisem.

Oryginalny opis (angielski, źródło NVD)

Glances is an open-source system cross-platform monitoring tool. Prior to 4.5.5, the Glances XML-RPC server (glances -s) introduced a configurable CORS origin list in version 4.5.3 as a mitigation for CVE-2026-33533. However, the implementation silently falls back to Access-Control-Allow-Origin: * whenever cors_origins contains more than one entry. An operator who configures an explicit two-entry allowlist (e.g. two internal dashboard origins) intending to restrict browser access instead receives the unrestricted wildcard. A malicious web page served from any origin can issue a CORS simple request to /RPC2 and read the full system monitoring dataset without the victim's knowledge. This vulnerability is fixed in 4.5.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS