Glances 易受跨域系统信息泄露攻击，原因是 XML-RPC 服务器 CORS 通配符

Glances 是一个开源的跨平台系统监控工具。在 4.5.3 版本之前，Glances XML-RPC 服务器（通过 glances -s 或 glances --server 激活）在每个 HTTP 响应上发送 Access-Control-Allow-Origin: *。由于 XML-RPC 处理程序不验证 Content-Type 标头，因此攻击者控制的网页可以发出包含有效 XML-RPC 有效负载的 CORS“简单请求”（POST，Content-Type: text/plain）。浏览器在没有预检检查的情况下发送请求，服务器处理 XML 正文并返回完整的系统监控数据集，并且通配符 CORS 标头允许攻击者的 JavaScript 读取响应。结果是完整地泄露主机名、操作系统版本、IP 地址、CPU/内存/磁盘/网络统计信息以及完整的进程列表，包括命令行（通常包含令牌、密码或内部路径）。此问题已在 4.5.3 版本中得到修补。