Vulnerabilidad en glances de nicolargo (CVE-2026-32611)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)

Fecha de publicación:

18/03/2026

Última modificación:

19/03/2026

Descripción

Glances es una herramienta de monitoreo de sistema multiplataforma de código abierto. La corrección GHSA-x46r (commit 39161f0) abordó la inyección SQL en el módulo de exportación de TimescaleDB al convertir todas las operaciones SQL para usar consultas parametrizadas y objetos componibles psycopg.sql. Sin embargo, el módulo de exportación de DuckDB (glances/exports/glances_duckdb/__init__.py) no fue incluido en esta corrección y contiene la misma clase de vulnerabilidad: los nombres de tabla y los nombres de columna derivados de las estadísticas de monitoreo se interpolan directamente en las sentencias SQL a través de f-strings. Si bien los valores INSERT de DuckDB ya usan consultas parametrizadas (marcadores de posición ?), la construcción DDL y las referencias a nombres de tabla no escapan ni parametrizan los nombres de identificador. La versión 4.5.3 proporciona una corrección más completa.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.00 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo