Glances 跨源信息泄露漏洞 (CVE-2026-34839) 漏洞概述 Glances 存在跨源信息泄露漏洞。由于未认证的 REST API ( ) 配置了过于宽松的 CORS(跨源资源共享)策略,导致攻击者可以通过跨域请求读取系统指标等敏感信息。 影响范围 组件: Glances Web Server 触发条件: 当 Web 服务器运行在 或 上,且未启用密码认证(authentication)时。 风险: 任何可访问该 Web 页面的浏览器都可以读取系统指标。 修复方案 1. 绑定地址: 建议将服务绑定到 。 2. 启用认证: 启用密码认证(authentication)或修改 中的 CORS 配置。 3. 代码逻辑变更: 在 中,当未设置密码且绑定地址为本地回环时,不再默认允许所有来源的 CORS 请求( 默认为 改为更严格的限制或提示)。 * 增加警告信息,提示用户当前处于无认证且允许跨源的状态,并引导用户查看相关安全文档。 涉及代码变更 (POC/利用逻辑相关) 以下代码片段展示了漏洞修复前后的逻辑差异,特别是关于 CORS 和认证检查的部分: