V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-32632
CVE
Средний

Glances - это кросс-платформенный инструмент мониторинга системы с открытым исходным кодом. Взгляды недавно добавили защиту от повторного п…

CVSS
5.9
Средний
EPSS
0.00
p5
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Glances - это кросс-платформенный инструмент мониторинга системы с открытым исходным кодом. Взгляды недавно добавили защиту от повторного подключения DNS для конечной точки MCP, но до версии 4.5.2 основное приложение REST/WebUI FastAPI по-прежнему принимает произвольные заголовки «Хост-хостинг» и не применяет «TrustedHostMiddleware» или эквивалентный список разрешений хостов. В результате REST API, WebUI и конечные точки токенов остаются доступными через домены, контролируемые злоумышленником, в классических сценариях повторного подключения DNS. После того, как браузер-жертва отскочил домен злоумышленника в службу Glances, политика того же происхождения больше не защищает API, потому что браузер считает, что переигрывающий домен является источником. Это отличная проблема от ранее сообщенной слабости CORS по умолчанию. CORS не требуется для эксплуатации здесь, потому что DNS rebinding заставляет браузер-жертву относиться к вредоносному домену как к тому же с целью перезаключения. Версия 4.5.2 содержит патч для выпуска.

Теги · CWE
Без аутентификации
CWE-346
CAPEC-21
CAPEC-59
CAPEC-60
CAPEC-75
CAPEC-76
CAPEC-89
CAPEC-111
CAPEC-141
CAPEC-142
CAPEC-160
CAPEC-384
CAPEC-385
CAPEC-386
CAPEC-387
CAPEC-388
CAPEC-510
Затронутые продукты
Glances < 4.5.2
Вектор CVSS
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:N
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: R
Требуется (R)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: L
Низкое (L)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.002 · p5
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
└ через CAPEC-60 · CWE-346
└ через CAPEC-21 · CWE-346
└ через CAPEC-60 · CWE-346
└ через CAPEC-141 · CWE-346
└ через CAPEC-142 · CWE-346
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
glancesОтслеживается
glancesОтслеживается
glancesОтслеживается
glances*Отслеживается
glancesОтслеживается
glancesОтслеживается
glancesОтслеживается
glances-webserverОтслеживается
glances-webserverОтслеживается
python3-module-glancesОтслеживается
python3-module-glancesОтслеживается
python3-module-glancesОтслеживается