CVE-2026-35587 in glances
요약
\~에 의해 VulDB • 2026. 06. 02.
Glances는 오픈소스 크로스 플랫폼 시스템 모니터링 도구입니다. 버전 4.5.4 이전 버전에서 Glances IP 플러그인은 public_api 구성 매개변수의 부적절한 검증으로 인해 서버 사이드 요청 위조(SSRF) 취약점이 존재합니다. public_api의 값은 스키마 제한이나 호스트명/IP 검증 없이 외부 HTTP 요청에 직접 사용됩니다. Glances 구성을 수정할 수 있는 공격자는 임의의 내부 또는 외부 엔드포인트로 애플리케이션이 요청을 보내도록 강제할 수 있습니다. 또한 public_username과 public_password가 설정된 경우, Glances는 이러한 자격 증명을 Authorization: Basic 헤더에 자동으로 포함시켜 공격자가 제어하는 서버로 자격 증명이 유출됩니다. 이 취약점은 내부 네트워크 서비스에 접근하거나 클라우드 메타데이터 엔드포인트에서 민감한 데이터를 검색하거나, 외부 HTTP 요청을 통해 자격 증명을 유출하는 데 악용될 수 있습니다. 이 문제는 public_api가 검증 없이 HTTP 클라이언트(urlopen_auth)로 직접 전달되어 제한 없는 외부 연결과 민감한 정보의 의도치 않은 유출을 허용하기 때문에 발생합니다. 버전 4.5.4에는 패치가 포함되어 있습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.