Katalog CVE

CVE-2026-46611

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Glances to otwartoźródłowe narzędzie do monitorowania systemów. Przed wersją 4.5.5 serwer XML-RPC Glances nie waliduje nagłówka HTTP Host, co czyni go podatnym na ataki DNS rebinding. Atakujący może wykorzystać tę lukę do wykradzenia pełnych danych monitorowania systemu z przeglądarki ofiary.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wycieku wrażliwych danych systemowych (np. procesy, sieć, dyski) bez autoryzacji, co może prowadzić do naruszenia poufności i dalszych ataków.

Rekomendacja

Zaleca się natychmiastową aktualizację Glances do wersji 4.5.5 lub nowszej. Jako tymczasowe zabezpieczenie można ograniczyć dostęp do serwera XML-RPC tylko do zaufanych sieci.

Oryginalny opis (angielski, źródło NVD)

Glances is an open-source system cross-platform monitoring tool. Prior to 4.5.5, the Glances XML-RPC server (glances -s, implemented in glances/server.py) does not validate the HTTP Host header, leaving it vulnerable to DNS rebinding attacks. An attacker can exploit DNS rebinding to exfiltrate the full system monitoring dataset from a victim's browser. This vulnerability is fixed in 4.5.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS