Vulnerabilidad en glances de nicolargo (CVE-2026-32608)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

18/03/2026

Última modificación:

18/03/2026

Descripción

Glances es una herramienta de monitoreo de sistema multiplataforma de código abierto. El sistema de acciones de Glances permite a los administradores configurar comandos de shell que se ejecutan cuando se superan los umbrales de monitoreo. Estos comandos admiten variables de plantilla Mustache (por ejemplo, `{{name}}`, `{{key}}`) que se rellenan con datos de monitoreo en tiempo de ejecución. La función `secure_popen()`, que ejecuta estos comandos, implementa su propio manejo de operadores de tubería (pipe), redirección y encadenamiento dividiendo la cadena de comando antes de pasar cada segmento a `subprocess.Popen(shell=False)`. Antes de la versión 4.5.2, cuando un valor renderizado por Mustache (como un nombre de proceso, un punto de montaje del sistema de archivos o un nombre de contenedor) contiene metacaracteres de tubería (pipe), redirección o encadenamiento, el comando renderizado se divide de formas no intencionadas, permitiendo a un atacante que controla un nombre de proceso o un nombre de contenedor inyectar comandos arbitrarios. La versión 4.5.2 corrige el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.00 ALTA
Vector: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto