CVE-2026-32632 in glancesinformación

Resumen

por MITRE • 2026-03-18

Glances es una herramienta de monitoreo de sistema de código abierto multiplataforma. Glances añadió recientemente protección contra DNS rebinding para el endpoint MCP, pero antes de la versión 4.5.2, la aplicación principal FastAPI REST/WebUI todavía acepta encabezados 'Host' arbitrarios y no aplica 'TrustedHostMiddleware' o una lista de permitidos de host equivalente. Como resultado, la API REST, la WebUI y el endpoint de token permanecen accesibles a través de dominios controlados por el atacante en escenarios clásicos de DNS rebinding. Una vez que el navegador víctima ha reasociado el dominio del atacante al servicio Glances, la política de mismo origen ya no protege la API porque el navegador considera que el dominio de reasociación es el origen. Este es un problema distinto de la debilidad CORS predeterminada reportada anteriormente. CORS no es necesario para la explotación aquí porque el DNS rebinding hace que el navegador víctima trate el dominio malicioso como de mismo origen con el objetivo de rebinding. La versión 4.5.2 contiene un parche para el problema.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-12

Divulgación

2026-03-18

Moderación

aceptado

Artículo

VDB-351590

CPE

listo

EPSS

0.00028

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32632
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32632
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32632/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!