Plateforme
python
Composant
changedetection-io
Corrigé dans
0.54.5
0.54.4
La vulnérabilité CVE-2026-29065 est une faille de type Zip Slip affectant l'application changedetection-io, versions inférieures ou égales à 0.54.3. Cette faille permet à un attaquant d'écraser des fichiers arbitraires sur le système cible en manipulant les chemins d'accès dans les archives ZIP restaurées. La vulnérabilité a été publiée le 4 mars 2026 et une version corrigée (0.54.4) est disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de compromettre l'intégrité du système en écrasant des fichiers critiques avec des fichiers malveillants. Cela pourrait conduire à l'exécution de code arbitraire, à la modification de données sensibles ou à la prise de contrôle complète du système. L'attaquant doit être capable de télécharger une archive ZIP mal construite pour déclencher la vulnérabilité. Le risque est particulièrement élevé si l'application est utilisée pour restaurer des sauvegardes provenant de sources non fiables.
La vulnérabilité CVE-2026-29065 est actuellement publique. Il n'y a pas d'indication d'une exploitation active à grande échelle, mais la disponibilité d'une preuve de concept (PoC) pourrait faciliter son exploitation. La vulnérabilité n'est pas répertoriée sur le KEV de CISA à ce jour. La publication de la vulnérabilité a eu lieu le 4 mars 2026.
Systems running changedetection-io versions prior to 0.54.4 are at risk. This includes users who have not applied security updates and those who rely on the backup and restore functionality for data protection. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromised user could potentially exploit this vulnerability to affect other users.
• python / server:
find / -name 'changedetection-io' -type d -exec grep -i 'zipfile.ZipFile' {}/ -H 2>/dev/null | grep -i 'extractall' • generic web:
curl -I <changedetection-io_url>/restore_backup.php # Check for endpoint exposuredisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
La mesure d'atténuation principale consiste à mettre à jour changedetection-io vers la version 0.54.4 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en désactivant temporairement la fonctionnalité de restauration de sauvegarde ou en limitant les types de fichiers autorisés à être restaurés. Il est également recommandé de mettre en place une validation stricte des entrées utilisateur, en particulier pour les chemins d'accès aux fichiers, afin de prévenir les attaques par traversal de chemin. Surveillez les journaux d'accès pour détecter des tentatives d'accès à des fichiers inhabituels.
Mettez à jour changedetection.io à la version 0.54.4 ou supérieure. Cette version corrige la vulnérabilité Zip Slip qui permet l'écrasement arbitraire de fichiers lors de la restauration de sauvegardes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-29065 is a high-severity vulnerability in changedetection-io versions up to 0.54.3 that allows attackers to overwrite files via path traversal in uploaded ZIP archives during backup restore.
You are affected if you are running changedetection-io versions prior to 0.54.4. Check your version and upgrade immediately if vulnerable.
Upgrade changedetection-io to version 0.54.4 or later to patch the vulnerability. Restrict access to the restore functionality as a temporary measure.
As of now, there are no confirmed reports of active exploitation, but the vulnerability is easily exploitable and should be patched promptly.
Refer to the changedetection-io project's official release notes and security advisories on their GitHub repository for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.