Glances 易受动态配置值导致的命令注入 (Command Injection) 攻击

Glances 是一个开源的跨平台系统监控工具。在 4.5.3 之前的版本中，Glances 支持动态配置值，其中用反引号括起来的子字符串在配置解析期间作为系统命令执行。此行为发生在 Config.get_value() 中，并且在没有验证或限制执行的命令的情况下实现。如果攻击者可以修改或影响配置文件，则在启动或重新加载配置期间，任意命令将以 Glances 进程的权限自动执行。在 Glances 以提升的权限运行的部署中（例如，作为系统服务），这可能导致权限提升。此问题已在 4.5.3 版本中得到修复。