JVNDB-2026-010402

Nicolas Hennion (nicolargo)のGlancesにおける過度に許容されるクロスドメインホワイトリストに関する脆弱性

Glancesはオープンソースのクロスプラットフォームシステム監視ツールです。バージョン4.5.3以前のGlancesのXML-RPCサーバー（glances -sまたはglances --serverで起動）は、すべてのHTTPレスポンスにAccess-Control-Allow-Origin: *を送信していました。XML-RPCハンドラはContent-Typeヘッダを検証しないため、攻撃者が制御するウェブページが有効なXML-RPCペイロードを含むCORSの「シンプルリクエスト」（Content-Type: text/plainのPOST）を発行できます。ブラウザはプリフライトチェックなしでリクエストを送信し、サーバーはXMLボディを処理して完全なシステム監視データセットを返します。ワイルドカードのCORSヘッダにより攻撃者のJavaScriptがレスポンスを読み取れます。その結果、ホスト名、OSバージョン、IPアドレス、CPU/メモリ/ディスク/ネットワーク統計、およびトークン、パスワード、内部パスを含むことが多いコマンドラインを含む完全なプロセスリストが漏洩します。この問題はバージョン4.5.3にて修正されました。

Nicolas Hennion (nicolargo)

• Glances 4.5.3 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Cross-Origin System Information Disclosure via XML-RPC Server CORS Wildcard  Advisory  nicolargo/glances  GitHub

1. 過度に許容されるクロスドメインホワイトリスト(CWE-942) [その他]

1. CVE-2026-33533

1. National Vulnerability Database (NVD) : CVE-2026-33533
2. 関連文書 : Release Glances 4.5.3  nicolargo/glances  GitHub
3. 関連文書 : Merge branch 'advisorie/GHSA-7p93-6934-f4q7' into develop  nicolargo/glances@dcb39c3  GitHub

• [2026年04月09日]
    掲載