CVE-2026-33641

Nome do Software Vulnerável e Versões Afetadas Glances versões anteriores a 4.5.3

Descrição Glances, uma ferramenta de monitoramento de sistema cross-platform, permite a execução de comandos arbitrários do sistema através de valores de configuração dinâmicos. Especificamente, substrings entre crases (backticks) dentro de arquivos de configuração são executados sem validação usando a função system exec(). Isso ocorre durante a análise da configuração em Config.get value(). Se um invasor puder modificar ou influenciar esses arquivos de configuração, ele poderá executar comandos com os privilégios do processo Glances. Isso é particularmente perigoso se o Glances estiver sendo executado com privilégios elevados, o que pode levar à escalada de privilégios. Os arquivos vulneráveis incluem glances/config.py e glances/globals.py. Uma prova de conceito demonstra a execução arbitrária de comandos criando um arquivo de configuração malicioso contendo um comando entre crases e executando o Glances com esta configuração.

Recomendações Atualize o Glances para a versão 4.5.3 ou posterior.