Glancesは、XML-RPCサーバーのCORSワイルドカードを介したクロスオリジンシステム情報漏洩の脆弱性があります

Glancesは、オープンソースのシステムクロスプラットフォーム監視ツールです。バージョン4.5.3より前のGlances XML-RPCサーバー（glances -s または glances --server で有効化）は、すべてのHTTPレスポンスで Access-Control-Allow-Origin: * を送信します。XML-RPCハンドラーは Content-Type ヘッダーを検証しないため、攻撃者が制御するWebページは、有効なXML-RPCペイロードを含むCORSの「単純なリクエスト」（Content-Type: text/plain を使用したPOST）を発行できます。ブラウザはプリフライトチェックなしでリクエストを送信し、サーバーはXMLボディを処理して完全なシステム監視データセットを返し、ワイルドカードCORSヘッダーにより、攻撃者のJavaScriptがレスポンスを読み取ることができます。その結果、ホスト名、OSバージョン、IPアドレス、CPU/メモリ/ディスク/ネットワーク統計、およびコマンドラインを含む完全なプロセスリスト（トークン、パスワード、または内部パスを含むことが多い）が完全に漏洩します。この問題はバージョン4.5.3で修正されました。