Plateforme
python
Composant
changedetection-io
Corrigé dans
0.54.2
0.54.1
La vulnérabilité CVE-2026-27696 est une faille de type Server-Side Request Forgery (SSRF) découverte dans changedetection-io. Cette faille permet à un attaquant d'effectuer des requêtes vers des ressources internes, potentiellement sensibles, en exploitant la fonction de validation d'URL défectueuse. Elle affecte les versions de changedetection-io inférieures ou égales à 0.53.7. Une version corrigée, 0.54.1, est désormais disponible.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant d'accéder à des ressources internes qui ne sont pas accessibles depuis l'extérieur du réseau. En exploitant la fonction de surveillance (watch) de changedetection-io, un attaquant peut forcer l'application à effectuer des requêtes vers des adresses IP privées, loopback ou link-local, telles que 169.254.169.254, 10.0.0.1 ou 127.0.0.1. Le contenu de ces requêtes est ensuite stocké et rendu accessible via l'interface web, permettant ainsi un accès non autorisé à des données sensibles ou à des services internes. Cette vulnérabilité est particulièrement préoccupante car elle peut être exploitée par des utilisateurs authentifiés, voire par des utilisateurs non authentifiés si aucun mot de passe n'est configuré (configuration par défaut).
Cette vulnérabilité a été publiée le 25 février 2026. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation et de la popularité de changedetection-io. Il est conseillé de surveiller les forums de sécurité et les plateformes de partage de vulnérabilités pour détecter l'émergence de preuves d'exploitation.
Organizations running changedetection-io, particularly those with default configurations (no password protection) or those exposing the application to untrusted networks, are at significant risk. Shared hosting environments where users can add custom watch URLs are also particularly vulnerable.
• python / server:
journalctl -u changedetection-io -g 'SSRF' --since "1h"• generic web:
curl -I http://<changedetection-io-ip>/watch/ -s | grep 'Server:'disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour changedetection-io vers la version 0.54.1 ou supérieure, qui corrige la vulnérabilité SSRF. Si la mise à jour n'est pas possible immédiatement, une solution de contournement temporaire consiste à configurer un pare-feu ou un proxy inverse pour bloquer les requêtes sortantes vers des adresses IP privées, loopback ou link-local. Il est également recommandé de renforcer la configuration de changedetection-io en exigeant un mot de passe pour l'authentification. Après la mise à jour, vérifiez que la validation d'URL fonctionne correctement en tentant d'ajouter une surveillance pour une adresse IP interne et en confirmant que la requête est bloquée.
Mettez à jour changedetection.io à la version 0.54.1 ou supérieure. Cette version contient une correction pour la vulnérabilité SSRF. La mise à jour empêchera les utilisateurs authentifiés (ou non authentifiés si aucun mot de passe n'est configuré) d'exploiter la vulnérabilité pour accéder à des URL internes et exfiltrer des données.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-27696 est une vulnérabilité SSRF dans changedetection-io, permettant l'accès à des ressources internes. Elle affecte les versions ≤0.53.7.
Vous êtes affecté si vous utilisez changedetection-io en version 0.53.7 ou inférieure. Vérifiez votre version et mettez à jour si nécessaire.
Mettez à jour changedetection-io vers la version 0.54.1 ou supérieure. En attendant, configurez un pare-feu pour bloquer les requêtes vers des adresses IP privées.
À l'heure actuelle, il n'y a pas de preuves d'exploitation active, mais la probabilité est considérée comme moyenne.
Consultez le site web de changedetection-io ou leur dépôt GitHub pour obtenir les informations officielles sur la vulnérabilité et la correction.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.