Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Glances は、オープンソースのクロスプラットフォーム監視ツールです。バージョン 4.5.4以前は、public_api設定パラメータの不適切な検証により、Glances IPプラグインにサーバーサイドリクエスト偽造(SSRF)脆弱性が存在していました。public_apiの値は、スキーム制限やホスト名・IPの検証なしに、アウトバウンドHTTPリクエストに直接使用されます。Glancesの設定を修正できる攻撃者は、アプリケーションに任意の内部または外部エンドポイントへのリクエスト送信を強制できます。
    さらに、public_usernameとpublic_passwordが設定されると、Glancesは自動的にこれらの認証情報をAuthorization: Basicヘッダーに含め、攻撃者制御のサーバーへの認証情報漏洩を引き起こします。この脆弱性は内部ネットワークサービスへのアクセス、クラウドメタデータエンドポイントからの機密データの取得、または送信HTTPリクエストによる認証情報の流出に悪用される可能性があります。問題は、public_apiが検証なしにHTTPクライアント(urlopen_auth)に直接渡され、制限のないアウトバウンド接続や機密情報の意図しない開示を許してしまうためです。バージョン 4.5.4 にはパッチが含まれています。(CVE-2026-35587)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2026-35587

high Nessus プラグイン ID 309692

バージョン 1.4