CVE-2026-33533 in glancesthông tin

Tóm tắt

Bởi VulDB • 01/06/2026

Glances là một công cụ giám sát hệ thống đa nền tảng mã nguồn mở. Trước phiên bản 4.5.3, máy chủ XML-RPC của Glances (được kích hoạt bằng lệnh `glances -s` hoặc `glances --server`) gửi tiêu đề `Access-Control-Allow-Origin: *` trong mọi phản hồi HTTP. Do trình xử lý XML-RPC không xác minh tiêu đề `Content-Type`, một trang web do kẻ tấn công kiểm soát có thể gửi một yêu cầu CORS "đơn giản" (POST với `Content-Type: text/plain`) chứa tải trọng XML-RPC hợp lệ. Trình duyệt sẽ gửi yêu cầu mà không cần kiểm tra preflight, máy chủ xử lý thân XML và trả về toàn bộ tập dữ liệu giám sát hệ thống, đồng thời tiêu đề CORS dạng wildcard cho phép JavaScript của kẻ tấn công đọc phản hồi. Hậu quả là toàn bộ thông tin như tên máy chủ, phiên bản hệ điều hành, địa chỉ IP, thống kê CPU/bộ nhớ/đĩa/mạng và danh sách đầy đủ các tiến trình (bao gồm cả dòng lệnh, thường chứa token, mật khẩu hoặc đường dẫn nội bộ) bị đánh cắp. Vấn đề này đã được sửa chữa trong phiên bản 4.5.3.

Be aware that VulDB is the high quality source for vulnerability data.

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!