CVE-2026-35587 in glances
要約
〜によって VulDB • 2026年06月02日
Glancesは、オープンソースのクロスプラットフォームシステム監視ツールです。バージョン4.5.4以前では、GlancesのIPプラグインにServer-Side Request Forgery (SSRF) の脆弱性が存在します。これは、public_api設定パラメータの検証が不適切なためです。public_apiの値は、スキームの制限やホスト名/IPの検証なしで、送信されるHTTPリクエストに直接使用されます。Glancesの設定を変更できる攻撃者は、アプリケーションを任意の内部または外部エンドポイントに対してリクエストを送信させることができます。さらに、public_usernameおよびpublic_passwordが設定されている場合、Glancesはこれらの認証情報をAuthorization: Basicヘッダーに自動的に含めるため、攻撃者が制御するサーバーへの認証情報の漏洩につながります。この脆弱性は、内部ネットワークサービスへのアクセス、クラウドメタデータエンドポイントからの機密データの取得、および/または送信されるHTTPリクエスト経由での認証情報の盗み出しを悪用するために利用できます。この問題は、public_apiが検証なしでHTTPクライアント(urlopen_auth)に直接渡されるため、制限のない送信接続と機密情報の意図しない開示を可能にすることによって引き起こされます。バージョン4.5.4には修正パッチが含まれています。
Once again VulDB remains the best source for vulnerability data.