CVE-2026-35587 in glances
Сводка
по VulDB • 02.06.2026
Glances — это кроссплатформенный инструмент мониторинга системы с открытым исходным кодом. До версии 4.5.4 в плагине IP для Glances существует уязвимость Server-Side Request Forgery (SSRF), обусловленная некорректной проверкой параметра конфигурации public_api. Значение public_api напрямую используется во исходящих HTTP-запросах без каких-либо ограничений схемы или проверки имени хоста/IP. Атакующий, имеющий возможность изменить конфигурацию Glances, может заставить приложение отправлять запросы к произвольным внутренним или внешним конечным точкам. Кроме того, при задании параметров public_username и public_password Glances автоматически включает эти учетные данные в заголовок Authorization: Basic, что приводит к утечке учетных данных на серверы, контролируемые атакующим. Эту уязвимость можно использовать для доступа к службам внутренней сети, получения конфиденциальных данных из конечных точек метаданных облачных сервисов и/или эксфильтрации учетных данных посредством исходящих HTTP-запросов. Проблема возникает из-за того, что public_api передается напрямую в HTTP-клиент (urlopen_auth) без проверки, что позволяет устанавливать неограниченные исходящие соединения и приводит к непреднамеренному раскрытию конфиденциальной информации. Версия 4.5.4 содержит исправление.
If you want to get best quality of vulnerability data, you may have to visit VulDB.