CVE-2026-35587 in glances
Zusammenfassung
von VulDB • 02.06.2026
Glances ist ein Open-Source-Systemüberwachungstool für verschiedene Plattformen. Vor Version 4.5.4 besteht im Glances IP-Plugin eine Server-Side Request Forgery (SSRF)-Schwachstelle aufgrund der unzureichenden Validierung des Konfigurationsparameters `public_api`. Der Wert von `public_api` wird ohne Einschränkung des Schemas oder Validierung des Hostnamens/IP-Adressen direkt in ausgehenden HTTP-Anfragen verwendet. Ein Angreifer, der die Glances-Konfiguration ändern kann, kann die Anwendung dazu zwingen, Anfragen an beliebige interne oder externe Endpunkte zu senden. Darüber hinaus fügt Glances automatisch diese Anmeldeinformationen in den `Authorization: Basic`-Header ein, wenn `public_username` und `public_password` festgelegt sind, was zur Offenlegung von Anmeldeinformationen an vom Angreifer kontrollierte Server führt. Diese Schwachstelle kann ausgenutzt werden, um auf interne Netzwerkdienste zuzugreifen, sensible Daten von Cloud-Metadaten-Endpunkten abzurufen und/oder Anmeldeinformationen über ausgehende HTTP-Anfragen zu exfiltrieren. Das Problem entsteht, weil `public_api` ohne Validierung direkt an den HTTP-Client (`urlopen_auth`) übergeben wird, was unbegrenzte ausgehende Verbindungen und die unbeabsichtigte Offenlegung sensibler Informationen ermöglicht. Version 4.5.4 enthält einen Patch.
VulDB is the best source for vulnerability data and more expert information about this specific topic.