anonhaven

CVE-2026-32633

CRITICAL CVSS 3.1: 9,1 EPSS 0.07%
Обновлено 19 марта 2026
Nicolargo
Параметр Значение
CVSS 9,1 (CRITICAL)
Уязвимые версии до 4.5.2
Устранено в версии 4.5.2
Тип уязвимости CWE-522 (Недостаточно защищённые учётные данные), CWE-200 (Раскрытие информации)
Поставщик Nicolargo
Публичный эксплойт Нет

Glances — это кроссплатформенный инструмент мониторинга системы с открытым исходным кодом. До версии 4.5.2 в режиме центрального браузера конечная точка `/api/4/serverslist` возвращала необработанные объекты сервера из `GlancesServersList.get_servers_list()`. Эти объекты изменяются на месте во время фонового опроса и могут содержать поле `uri` со встроенными базовыми учетными данными HTTP для нижестоящих серверов Glances с использованием многоразового секрета аутентификации Glances, полученного из pbkdf2.

Если передний экземпляр браузера/API Glances запускается без `--password`, который поддерживается и является общим для развертываний во внутренней сети, `/api/4/serverslist` полностью не аутентифицируется. Любой пользователь сети, имеющий доступ к API браузера, может получить повторно используемые учетные данные для защищенных нижестоящих серверов Glances после того, как они будут опрошены экземпляром браузера. Версия 4.5.2 устраняет проблему.

Показать оригинальное описание (EN)

Glances is an open-source system cross-platform monitoring tool. Prior to version 4.5.2, in Central Browser mode, the `/api/4/serverslist` endpoint returns raw server objects from `GlancesServersList.get_servers_list()`. Those objects are mutated in-place during background polling and can contain a `uri` field with embedded HTTP Basic credentials for downstream Glances servers, using the reusable pbkdf2-derived Glances authentication secret. If the front Glances Browser/API instance is started without `--password`, which is supported and common for internal network deployments, `/api/4/serverslist` is completely unauthenticated. Any network user who can reach the Browser API can retrieve reusable credentials for protected downstream Glances servers once they have been polled by the browser instance. Version 4.5.2 fixes the issue.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-522 Insufficiently Protected Credentials (Недостаточно защищённые учётные данные)
CWE-200 Information Exposure (Раскрытие информации)

Уязвимые продукты 1

Конфигурация От (включительно) До (исключительно)
Nicolargo Glances
cpe:2.3:a:nicolargo:glances:*:*:*:*:*:*:*:*
 4.5.2

Ссылки 3

https://github.com/nicolargo/glances/commit/879ef8688ffa1630839549751d3c7ef9961…
security-advisories@github.com
https://github.com/nicolargo/glances/releases/tag/v4.5.2
security-advisories@github.com
https://github.com/nicolargo/glances/security/advisories/GHSA-r297-p3v4-wp8m
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33641

Glances

7,8

CVE-2026-33533

Payload

7,1

CVE-2026-32634

Nicolargo

8,1

CVE-2026-32632

Nicolargo

5,9

CVE-2026-32611

Nicolargo

9,1