प्लेटफ़ॉर्म
python
घटक
glances
में ठीक किया गया
4.5.4
4.5.2
4.5.3
CVE-2026-33533, Glances के 4.5.3 से पहले के संस्करणों में मौजूद एक सूचना प्रकटीकरण भेद्यता है। इस भेद्यता के कारण, XML-RPC सर्वर प्रत्येक HTTP प्रतिक्रिया पर Access-Control-Allow-Origin: * भेजता है, जिससे संवेदनशील जानकारी उजागर हो सकती है। यह भेद्यता संस्करण 4.5.3 में ठीक की गई है।
Glances में CVE-2026-33533 भेद्यता उन इंस्टॉलेशन को प्रभावित करती है जो XML-RPC सर्वर का उपयोग करते हैं (glances -s या glances --server के साथ सक्षम)। सर्वर सभी HTTP अनुरोधों का जवाब Access-Control-Allow-Origin: * के साथ देता है, जिससे क्रॉस-ओरिजिन अनुरोध (CORS) की अनुमति मिलती है। Content-Type हेडर के सत्यापन की कमी के कारण, एक हमलावर दुर्भावनापूर्ण वेब पेज के माध्यम से CORS 'सरल' अनुरोध (Content-Type: text/plain के साथ POST) भेज सकता है जिसमें एक वैध XML-RPC पेलोड होता है। ब्राउज़र बिना प्रीफ़्लाइट जांच के इस अनुरोध को भेजता है, सर्वर XML बॉडी को संसाधित करता है और संपूर्ण सिस्टम निगरानी डेटासेट लौटाता है, जिससे संवेदनशील जानकारी उजागर होती है।
एक हमलावर एक दुर्भावनापूर्ण वेब पेज बना सकता है जिसे Glances के साथ XML-RPC सर्वर सक्षम किए गए सिस्टम तक पहुंचने वाले उपयोगकर्ता द्वारा एक्सेस किया जाता है, जो सिस्टम जानकारी निकालने के लिए डिज़ाइन किए गए XML-RPC पेलोड के साथ POST अनुरोध भेजेगा। इस हमले की सफलता हमलावर की उपयोगकर्ता को दुर्भावनापूर्ण वेब पेज पर लुभाने की क्षमता और ब्राउज़र द्वारा CORS अनुरोध की अनुमति देने पर निर्भर करती है। Glances का उपयोग महत्वपूर्ण प्रणालियों की निगरानी के लिए किए जाने वाले वातावरण में यह भेद्यता विशेष रूप से चिंताजनक है, क्योंकि संवेदनशील जानकारी का खुलासा गंभीर परिणाम दे सकता है।
Systems running Glances versions 4.5.1 and earlier, particularly those exposed to untrusted networks or websites, are at risk. Shared hosting environments where multiple users share the same Glances instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through a malicious website hosted on the same server.
• python / system monitoring:
ps aux | grep glances• python / system monitoring: Check for Glances versions <= 4.5.1 using glances --version.
• generic web: Monitor access logs for POST requests to the Glances XML-RPC endpoint with Content-Type: text/plain.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
मुख्य शमन उपाय Glances को संस्करण 4.5.3 या उच्चतर में अपडेट करना है। यह संस्करण XML-RPC अनुरोधों को संसाधित करने से पहले Content-Type हेडर को मान्य करके इस भेद्यता को ठीक करता है। यदि तत्काल अपडेट संभव नहीं है, तो XML-RPC सर्वर को अक्षम करने (glances -s --no-rpc) या फ़ायरवॉल के माध्यम से सर्वर तक पहुंच को प्रतिबंधित करने की अनुशंसा की जाती है, जो सर्वर तक पहुंचने में सक्षम IP पतों को सीमित करता है। इसके अतिरिक्त, क्रॉस-ओरिजिन हमलों के जोखिम को कम करने के लिए ब्राउज़र सुरक्षा नीतियों की समीक्षा और मजबूत करना महत्वपूर्ण है।
Actualice Glances a la versión 4.5.3 o superior. Esta versión corrige la vulnerabilidad de Cross-Origin System Information Disclosure al validar correctamente el encabezado Content-Type y evitar la divulgación de información sensible del sistema.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
XML-RPC वेब पर दूरस्थ फ़ंक्शन कॉल करने के लिए एक प्रोटोकॉल है। Glances अपने निगरानी डेटा तक पहुंच की अनुमति देने के लिए XML-RPC का उपयोग करता है।
यह किसी भी वेबसाइट को सर्वर संसाधनों तक पहुंचने की अनुमति देता है, जिससे क्रॉस-ओरिजिन हमले का मार्ग खुल जाता है।
यह एक HTTP अनुरोध है जो कुछ मानदंडों को पूरा करता है (GET, POST, HEAD, PUT, DELETE, OPTIONS विधियाँ; सीमित Content-Type) और प्रीफ़्लाइट अनुरोध की आवश्यकता नहीं होती है।
यदि आप XML-RPC सर्वर सक्षम किए गए Glances का उपयोग कर रहे हैं (glances -s या glances --server), तो आप संभवतः प्रभावित हैं। आप जिस Glances संस्करण का उपयोग कर रहे हैं, उसे जांचें।
आप केवल अधिकृत IP पतों की अनुमति देने के लिए फ़ायरवॉल का उपयोग करके XML-RPC सर्वर तक पहुंच को प्रतिबंधित कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।