CVE-2026-32632Glances是一款开源跨平台系统监控工具。在4.5.2版本之前,主REST/WebUI FastAPI应用程序接受任意的Host头请求,未应用TrustedHostMiddleware或等效的主机白名单机制。这导致REST API、WebUI和令牌端点在经典的DNS重绑定攻击场景中可被攻击者控制的域名访问。当受害者的浏览器将攻击者域名重绑定到Glances服务后,同源策略不再保护API,因为浏览器将重绑定域名视为合法来源。这与之前报告的默认CORS弱化问题不同,CORS在此漏洞利用中不是必需的,因为DNS重绑定导致受害浏览器将恶意域名视为与重绑定目标同源。版本4.5.2包含此问题的修复补丁。
漏洞根源在于Glances的FastAPI应用未对Host请求头进行验证,缺少TrustedHostMiddleware中间件的保护。攻击者利用DNS重绑定技术:首先注册一个攻击者控制的域名,初始解析指向攻击者服务器(IP地址A),然后快速切换DNS记录指向目标Glances服务的内网IP(IP地址B)。当受害者访问该恶意域名时,浏览器首先访问攻击者服务器获取初始响应(此时同源策略允许),随后DNS记录变更,浏览器认为该域名已绑定到Glances服务(此时该域名的所有请求都发送到Glances服务)。由于浏览器认为重绑定后的域名与Glances服务同源,Cookie、Token等认证凭证会被自动发送,攻击者可通过JavaScript读取这些敏感信息,进而操作用户的API会话、窃取监控数据或获取令牌。