CVE-2026-46611
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Glances to otwartoźródłowe narzędzie do monitorowania systemów. Przed wersją 4.5.5 serwer XML-RPC Glances nie waliduje nagłówka HTTP Host, co czyni go podatnym na ataki DNS rebinding. Atakujący może wykorzystać tę lukę do wykradzenia pełnych danych monitorowania systemu z przeglądarki ofiary.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wycieku wrażliwych danych systemowych (np. procesy, sieć, dyski) bez autoryzacji, co może prowadzić do naruszenia poufności i dalszych ataków.
Rekomendacja
Zaleca się natychmiastową aktualizację Glances do wersji 4.5.5 lub nowszej. Jako tymczasowe zabezpieczenie można ograniczyć dostęp do serwera XML-RPC tylko do zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
Glances is an open-source system cross-platform monitoring tool. Prior to 4.5.5, the Glances XML-RPC server (glances -s, implemented in glances/server.py) does not validate the HTTP Host header, leaving it vulnerable to DNS rebinding attacks. An attacker can exploit DNS rebinding to exfiltrate the full system monitoring dataset from a victim's browser. This vulnerability is fixed in 4.5.5.

