CVE-2026-34839

Name of the Vulnerable Software and Affected Versions Glances versões anteriores a 4.5.4

Description O servidor web expõe um endpoint de API REST '/api/4/*' que é acessível sem autenticação. Devido a uma política de Cross-Origin Resource Sharing (CORS) permissiva, especificamente o cabeçalho 'Access-Control-Allow-Origin: *', o servidor permite solicitações de origens cruzadas de qualquer origem. Isso permite que um site malicioso leia informações sensíveis do sistema de uma instância em execução através do navegador da vítima, levando à exfiltração de dados cross-origin. O endpoint '/api/4/all' retorna dados extensos, incluindo a processlist, hostname, SO, informações de CPU, uso de memória e disco, interfaces de rede, endereços IP e serviços em execução.

Recommendations Atualizar para a versão 4.5.4.