Linux Distros 未修补的漏洞:CVE-2026-35587
high Nessus 插件 ID 309692
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- Glances 是一款开源系统跨平台监控工具。在低于版本之前 4.5.4的版本中,Glances IP 插件中存在一个服务器端请求伪造 (SSRF) 漏洞,这是因为不当验证 public_api 配置参数所导致。public_api 的值直接用于出站 HTTP 请求,无需任何方案限制或主机名/IP 验证。能够修改 Glances 配置的攻击者可强制应用程序将请求发送到任意内部或外部端点。
此外,设置public_username和public_password后,Glances 会自动将这些凭据包括在 Authorization: Basic 标头中,从而导致向攻击者控制的服务器泄露凭据。此漏洞可被利用于通过出站 HTTP 请求访问内部网络服务、从云元数据端点检索敏感数据和/或泄露凭据。产生该问题的原因是public_api未经验证就直接传递到 HTTP 客户端 (urlopen_auth),从而允许不受限制的出站连接和意外泄露敏感信息。版本 4.5.4 包含修补程序。(CVE-2026-35587)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: High
ID: 309692
文件名: unpatched_CVE_2026_35587.nasl
版本: 1.8
类型: Local
代理: unix
系列: Misc.
发布时间: 2026/4/22
最近更新时间: 2026/6/16
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 4.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2026-35587
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 8.3
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:U/RC:C
CVSS v4
风险因素: High
Base Score: 8.6
Threat Score: 7.3
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
漏洞信息
CPE: cpe:/o:canonical:ubuntu_linux:20.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.10, p-cpe:/a:debian:debian_linux:glances, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:glances, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:debian:debian_linux:13.0, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:debian:debian_linux:12.0, cpe:/o:canonical:ubuntu_linux:26.04:-:lts
必需的 KB 项: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2026/4/20
参考资料信息
CVE: CVE-2026-35587