CVE-2026-32609 in glances
요약
\~에 의해 VulDB • 2026. 05. 27.
Glances는 오픈소스 크로스플랫폼 시스템 모니터링 도구입니다. GHSA-gh4x 수정(커밋 5d3de60)은 `as_dict_secure()` 리덕션을 도입하여 `/api/v4/config` 엔드포인트에서 비인증 구성 비밀 노출 문제를 해결했습니다. 그러나 `/api/v4/args` 및 `/api/v4/args/{item}` 엔드포인트는 이 수정 대상에서 제외되었습니다. 이러한 엔드포인트는 `vars(self.args)`를 통해 전체 명령줄 인수 네임스페이스를 반환하며, 여기에는 비밀번호 해시(솔트 + pbkdf2_hmac), SNMP 커뮤니티 문자열, SNMP 인증 키 및 구성 파일 경로가 포함됩니다. Glances가 `--password` 옵션 없이(기본값) 실행될 경우, 이러한 엔드포인트는 인증 없이 접근 가능합니다. 버전 4.5.2는 보다 포괄적인 수정을 제공합니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.