Plateforme
python
Composant
changedetection-io
Corrigé dans
0.54.5
0.54.4
La vulnérabilité CVE-2026-29039 concerne une faille d'accès arbitraire de fichiers dans l'application changedetection-io. Cette faille exploite une mauvaise validation des expressions XPath utilisées pour filtrer le contenu, permettant à un attaquant de lire des fichiers sensibles sur le système. Elle affecte les versions de l'application antérieures à 0.54.4 et une correction a été déployée dans la version 0.54.4.
Cette vulnérabilité permet à un attaquant d'exploiter la fonction unparsed-text() de XPath 3.0, présente dans changedetection-io, pour accéder à des fichiers arbitraires sur le système de fichiers. L'attaquant peut spécifier une expression XPath malveillante via le champ include_filters, contournant ainsi les mécanismes de sécurité prévus. Les données potentiellement compromises incluent les fichiers de configuration, les données sensibles stockées localement, et tout autre fichier accessible au processus de l'application. L'impact est significatif car l'attaquant peut obtenir un accès non autorisé à des informations critiques, compromettant ainsi la confidentialité et l'intégrité du système.
Cette vulnérabilité a été rendue publique le 2026-03-04. Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au KEV. Des preuves de concept (PoC) pourraient être développées en raison de la simplicité de l'exploitation, mais aucune n'est actuellement disponible publiquement.
Organizations deploying changedetection-io, particularly those using it to monitor websites with sensitive content, are at risk. Shared hosting environments where multiple users have access to the changedetection-io instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through another user's configuration.
• python / server:
find / -name 'changedetection.io' -type d -print0 | xargs -0 grep -i 'unparsed-text()' • generic web:
curl -I http://your-changedetection-io-instance/ | grep -i 'include_filters'disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
La mitigation principale consiste à mettre à jour changedetection-io vers la version 0.54.4 ou ultérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'impact en désactivant temporairement la fonctionnalité de filtrage de contenu ou en restreignant l'accès au champ include_filters. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une validation stricte des entrées XPath est recommandée. Vérifiez après la mise à jour que l'application fonctionne correctement et que les expressions XPath sont correctement validées.
Mettez à jour changedetection.io à la version 0.54.4 ou supérieure. Cette version corrige la vulnérabilité qui permet la lecture arbitraire de fichiers via la fonction unparsed-text() dans les expressions XPath.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-29039 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a changedetection-io server through crafted XPath expressions. It affects versions up to 0.54.3.
You are affected if you are running changedetection-io version 0.54.3 or earlier. Check your version and upgrade immediately.
Upgrade to version 0.54.4 or later. As a temporary workaround, restrict XPath expression usage and validate user input.
There is currently no evidence of active exploitation, but the vulnerability is relatively easy to exploit.
Refer to the changedetection-io project's release notes and security advisories on their GitHub repository for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.