支持本站 — 捐款将帮助我们持续运营

目标: 1000 元,已筹: 1000

100.0%
立即捐款
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-32633 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Glances's Browser API Exposes Reusable Downstream Credentials via `/api/4/serverslist`
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Glances is an open-source system cross-platform monitoring tool. Prior to version 4.5.2, in Central Browser mode, the `/api/4/serverslist` endpoint returns raw server objects from `GlancesServersList.get_servers_list()`. Those objects are mutated in-place during background polling and can contain a `uri` field with embedded HTTP Basic credentials for downstream Glances servers, using the reusable pbkdf2-derived Glances authentication secret. If the front Glances Browser/API instance is started without `--password`, which is supported and common for internal network deployments, `/api/4/serverslist` is completely unauthenticated. Any network user who can reach the Browser API can retrieve reusable credentials for protected downstream Glances servers once they have been polled by the browser instance. Version 4.5.2 fixes the issue.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
信息暴露
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
glances 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
glances是Nicolas Hennion个人开发者的一款系统监测工具。 glances 4.5.2之前版本存在安全漏洞,该漏洞源于Central Browser模式下/api/4/serverslist端点未经身份验证返回包含嵌入式HTTP基本凭据的服务器对象,可能导致网络用户检索受保护下游服务器的可重用凭据。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
厂商产品影响版本CPE订阅
nicolargoglances < 4.5.2 -
二、漏洞 CVE-2026-32633 的公开POC
#POC 描述源链接神龙链接
AI 生成 POC高级
kimi-k2.5 · 6438 chars
付费版包含:
漏洞原理深度分析
触发条件与影响面
完整可执行 POC 代码
利用链与缓解建议
POC 打包下载
每月 100+ 条 AI 生成额度
三、漏洞 CVE-2026-32633 的情报信息
Please 登录 to view more intelligence information
四、漏洞 CVE-2026-32633 的评论

暂无评论

发表评论