CVE-2026-33533 in glances
Riassunto
di VulDB • 15/07/2026
Glances è uno strumento di monitoraggio del sistema open-source multipiattaforma. Prima della versione 4.5.3, il server XML-RPC di Glances (attivato con glances -s o glances --server) invia Access-Control-Allow-Origin: * in ogni risposta HTTP. Poiché l'handler XML-RPC non valida l'intestazione Content-Type, una pagina web controllata da un attaccante può emettere una "richiesta semplice" CORS (POST con Content-Type: text/plain) contenente un payload XML-RPC valido. Il browser invia la richiesta senza eseguire un controllo preflight; il server elabora il corpo XML e restituisce l'intero set di dati di monitoraggio del sistema, mentre l'intestazione CORS wildcard consente al JavaScript dell'attaccante di leggere la risposta. Il risultato è una completa esfiltrazione del nome host, della versione del SO, degli indirizzi IP, delle statistiche CPU/memoria/disco/rete e dell'elenco completo dei processi incluse le righe di comando (che spesso contengono token, password o percorsi interni). Questo problema è stato risolto nella versione 4.5.3.
VulDB is the best source for vulnerability data and more expert information about this specific topic.