Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Glances は、オープンソースのクロスプラットフォーム監視ツールです。バージョン 4.5.4より前では、public_api 構成パラメーターが不適切に検証されているため、Glances IP プラグインにサーバーサイドリクエスト偽造SSRFの脆弱性が存在します。public_api の値は、スキーム制限や hostname/IP 検証なしで、アウトバウンド HTTP リクエストで直接使用されます。Glances 構成を変更できる攻撃者が、アプリケーションに任意の内部または外部エンドポイントへのリクエスト送信を強制する可能性があります。
    さらに、public_username および public_password が設定されている場合、Glances は自動的にこれらの認証情報を Authorization: Basic ヘッダーに追加することで、攻撃者が制御するサーバーへ認証情報を漏洩します。この脆弱性が悪用されて、内部ネットワークサービスへのアクセス、クラウドメタデータエンドポイントからの機密データの取得、アウトバウンド HTTP リクエスト経由での認証情報の抽出が行われる可能性があります。public_api が検証されずに HTTP クライアントurlopen_authに直接渡されるために問題が発生し、制限のないアウトバウンド接続や意図しない機密情報の漏洩が発生する可能性があります。バージョン 4.5.4 にはパッチが含まれています。(CVE-2026-35587)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-35587

high Nessus プラグイン ID 309692

バージョン 1.2