CVE-2026-46608
WysokieCVSS 7.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 32 — wyżej niż 32% wszystkich znanych CVE
Streszczenie
W narzędziu Glances przed wersją 4.5.5 wykryto podatność w serwerze XML-RPC. Gdy lista dozwolonych źródeł CORS (cors_origins) zawiera więcej niż jeden wpis, implementacja błędnie ustawia nagłówek Access-Control-Allow-Origin na *, co pozwala na dostęp z dowolnego źródła. Złośliwa strona internetowa może w ten sposób odczytać pełny zestaw danych monitorowania systemu bez wiedzy ofiary.
Ocena ryzyka
Organizacja ryzykuje nieautoryzowany wyciek wrażliwych danych systemowych (np. obciążenie CPU, pamięć, procesy) do zewnętrznych, potencjalnie złośliwych stron internetowych, co może naruszyć poufność i bezpieczeństwo infrastruktury IT.
Rekomendacja
Należy niezwłocznie zaktualizować Glances do wersji 4.5.5 lub nowszej. Jeśli aktualizacja nie jest możliwa, tymczasowo ogranicz dostęp do serwera XML-RPC za pomocą zapory sieciowej lub skonfiguruj listę cors_origins z jednym wpisem.
Oryginalny opis (angielski, źródło NVD)
Glances is an open-source system cross-platform monitoring tool. Prior to 4.5.5, the Glances XML-RPC server (glances -s) introduced a configurable CORS origin list in version 4.5.3 as a mitigation for CVE-2026-33533. However, the implementation silently falls back to Access-Control-Allow-Origin: * whenever cors_origins contains more than one entry. An operator who configures an explicit two-entry allowlist (e.g. two internal dashboard origins) intending to restrict browser access instead receives the unrestricted wildcard. A malicious web page served from any origin can issue a CORS simple request to /RPC2 and read the full system monitoring dataset without the victim's knowledge. This vulnerability is fixed in 4.5.5.

