CVE-2026-35587 in glances
Sumário
de VulDB • 15/05/2026
Glances é uma ferramenta de monitoramento de sistema multiplataforma de código aberto. Antes da versão 4.5.4, existe uma vulnerabilidade de Server-Side Request Forgery (SSRF) no plugin IP do Glances devido à validação inadequada do parâmetro de configuração public_api. O valor de public_api é usado diretamente em solicitações HTTP de saída sem qualquer restrição de esquema ou validação de hostname/IP. Um atacante que possa modificar a configuração do Glances pode forçar o aplicativo a enviar solicitações para endpoints internos ou externos arbitrários. Além disso, quando public_username e public_password estão definidos, o Glances inclui automaticamente essas credenciais no cabeçalho Authorization: Basic, resultando em vazamento de credenciais para servidores controlados pelo atacante. Essa vulnerabilidade pode ser explorada para acessar serviços de rede interna, recuperar dados sensíveis de endpoints de metadados de nuvem e/ou exfiltrar credenciais por meio de solicitações HTTP de saída. O problema ocorre porque public_api é passado diretamente para o cliente HTTP (urlopen_auth) sem validação, permitindo conexões de saída irrestritas e divulgação não intencional de informações sensíveis. A versão 4.5.4 contém um patch.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.