Glances — это кроссплатформенный инструмент мониторинга системы с открытым исходным кодом. До версии 4.5.1 конечная точка REST API /api/4/config возвращает весь проанализированный файл конфигурации Glances (glances.conf) через self.config.as_dict() без фильтрации конфиденциальных значений. Файл конфигурации содержит учетные данные для всех настроенных серверных служб, включая пароли базы данных, токены API, ключи подписи JWT и пароли ключей SSL.
Эта уязвимость исправлена в версии 4.5.1.
Показать оригинальное описание (EN)
Glances is an open-source system cross-platform monitoring tool. Prior to 4.5.1, the /api/4/config REST API endpoint returns the entire parsed Glances configuration file (glances.conf) via self.config.as_dict() with no filtering of sensitive values. The configuration file contains credentials for all configured backend services including database passwords, API tokens, JWT signing keys, and SSL key passwords. This vulnerability is fixed in 4.5.1.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Nicolargo Glances
cpe:2.3:a:nicolargo:glances:*:*:*:*:*:*:*:*
|
— |
4.5.1
|