Glances — это кроссплатформенный инструмент мониторинга системы с открытым исходным кодом. Исправление GHSA-x46r (фиксация 39161f0) устраняет внедрение SQL в модуль экспорта TimescaleDB путем преобразования всех операций SQL для использования параметризованных запросов и составных объектов `psycopg.sql`. Однако модуль экспорта DuckDB (`glances/exports/glances_duckdb/__init__.py`) не был включен в это исправление и содержит тот же класс уязвимостей: имена таблиц и имена столбцов, полученные из статистики мониторинга, напрямую интерполируются в операторы SQL через f-строки.
Хотя значения DuckDB INSERT уже используют параметризованные запросы (заполнители `?`), конструкции DDL и ссылки на имена таблиц не экранируют и не параметризуют имена идентификаторов. Версия 4.5.3 содержит более полное исправление.
Показать оригинальное описание (EN)
Glances is an open-source system cross-platform monitoring tool. The GHSA-x46r fix (commit 39161f0) addressed SQL injection in the TimescaleDB export module by converting all SQL operations to use parameterized queries and `psycopg.sql` composable objects. However, the DuckDB export module (`glances/exports/glances_duckdb/__init__.py`) was not included in this fix and contains the same class of vulnerability: table names and column names derived from monitoring statistics are directly interpolated into SQL statements via f-strings. While DuckDB INSERT values already use parameterized queries (`?` placeholders), the DDL construction and table name references do not escape or parameterize identifier names. Version 4.5.3 provides a more complete fix.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Nicolargo Glances
cpe:2.3:a:nicolargo:glances:*:*:*:*:*:*:*:*
|
— |
4.5.2
|