プラットフォーム
python
コンポーネント
glances
修正版
4.5.4
4.5.2
4.5.3
CVE-2026-33533は、オープンソースのシステム監視ツールGlancesのXML-RPCサーバーにおける情報漏洩の脆弱性です。この脆弱性により、攻撃者はクロスオリジンリクエストを通じてシステム監視データを取得できる可能性があります。影響を受けるのはバージョン4.5.3より前のGlancesです。バージョン4.5.3でこの問題は修正されています。
Glances の CVE-2026-33533 は、XML-RPC サーバー (glances -s または glances --server で有効化) を使用しているインストールに影響します。サーバーはすべての HTTP リクエストに対して Access-Control-Allow-Origin: * で応答し、クロスオリジンリクエスト (CORS) を有効にします。Content-Type ヘッダーの検証がないため、攻撃者は悪意のある Web ページを介して、有効な XML-RPC ペイロードを含む CORS「単純」リクエスト (Content-Type: text/plain の POST) を送信できます。ブラウザはこのリクエストを事前チェックなしで送信し、サーバーは XML ボディを処理して完全なシステム監視データセットを返します。これにより、機密情報が公開されます。
攻撃者は、Glances で XML-RPC サーバーが有効になっているシステムにアクセスできるユーザーが訪問する悪意のある Web ページを作成できます。この Web ページは、システム情報を抽出するように設計された XML-RPC ペイロードを含む POST リクエストを送信します。この攻撃の成功は、攻撃者がユーザーを悪意のある Web ページに誘導する能力と、ブラウザが CORS リクエストを許可するかどうかに依存します。Glances が重要なシステムを監視するために使用されている環境では、この脆弱性は特に懸念されます。機密情報の公開は深刻な結果を招く可能性があります。
Systems running Glances versions 4.5.1 and earlier, particularly those exposed to untrusted networks or websites, are at risk. Shared hosting environments where multiple users share the same Glances instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through a malicious website hosted on the same server.
• python / system monitoring:
ps aux | grep glances• python / system monitoring: Check for Glances versions <= 4.5.1 using glances --version.
• generic web: Monitor access logs for POST requests to the Glances XML-RPC endpoint with Content-Type: text/plain.
disclosure
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
主な軽減策は、Glances をバージョン 4.5.3 以降に更新することです。このバージョンは、XML-RPC リクエストを処理する前に Content-Type ヘッダーを検証することで、この脆弱性を修正します。即時の更新が不可能な場合は、XML-RPC サーバーを無効にする (glances -s --no-rpc) か、ファイアウォールを介してサーバーへのアクセスを制限して、サーバーにアクセスできる IP アドレスを制限することをお勧めします。さらに、クロスオリジン攻撃のリスクを軽減するために、ブラウザのセキュリティポリシーをレビューおよび強化することが重要です。
Actualice Glances a la versión 4.5.3 o superior. Esta versión corrige la vulnerabilidad de Cross-Origin System Information Disclosure al validar correctamente el encabezado Content-Type y evitar la divulgación de información sensible del sistema.
脆弱性分析と重要アラートをメールでお届けします。
XML-RPC は、Web を介してリモート関数呼び出しを実行するためのプロトコルです。Glances は、監視データへのアクセスを許可するために XML-RPC を使用します。
これにより、どの Web サイトでもサーバーのリソースにアクセスできるようになり、クロスオリジン攻撃への道が開かれます。
これは、特定の基準 (GET、POST、HEAD、PUT、DELETE、OPTIONS メソッド; 限定的な Content-Type) を満たしており、事前チェック リクエストを必要としない HTTP リクエストです。
Glances で XML-RPC サーバーを有効にしている場合 (glances -s または glances --server)、影響を受けている可能性が高いです。使用している Glances のバージョンを確認してください。
ファイアウォールを使用して、XML-RPC サーバーへのアクセスを許可された IP アドレスのみに制限できます。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。