changedetection.io 'वॉच यूआरएल' के माध्यम से SSRF के प्रति संवेदनशील है

यह SSRF भेद्यता हमलावरों को आंतरिक नेटवर्क सेवाओं और संसाधनों तक पहुँचने की अनुमति देती है जो सामान्य रूप से बाहरी दुनिया के लिए दुर्गम हैं। हमलावर आंतरिक वेब सर्वरों, डेटाबेस या अन्य संवेदनशील प्रणालियों को लक्षित कर सकते हैं। उदाहरण के लिए, हमलावर http://169.254.169.254, http://10.0.0.1/, या http://127.0.0.1/ जैसे आंतरिक URL के लिए निगरानी जोड़ सकते हैं, जिससे सर्वर इन URL से डेटा प्राप्त करेगा और इसे वेब इंटरफ़ेस के माध्यम से संग्रहीत और प्रदर्शित करेगा। इससे डेटा का अनधिकृत प्रकटीकरण, सिस्टम पर नियंत्रण हासिल करना या अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं।

Organizations running changedetection-io, particularly those with default configurations (no password protection) or those exposing the application to untrusted networks, are at significant risk. Shared hosting environments where users can add custom watch URLs are also particularly vulnerable.

• python / server:

journalctl -u changedetection-io -g 'SSRF' --since "1h"

• generic web:

curl -I http://<changedetection-io-ip>/watch/ -s | grep 'Server:'

1. 2026-02-25Disclosure

   disclosure

1. आरक्षित2026-02-23
2. प्रकाशित2026-02-25
3. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, changedetection-io को तुरंत संस्करण 0.54.1 या उसके बाद के संस्करण में अपडेट करना आवश्यक है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके आंतरिक नेटवर्क URL के लिए अनुरोधों को ब्लॉक कर सकते हैं। इसके अतिरिक्त, आप changedetection-io के कॉन्फ़िगरेशन में URL सत्यापन नियमों को कड़ा करके आंतरिक IP पतों और अन्य असुरक्षित डोमेन को ब्लॉक कर सकते हैं। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, आंतरिक URL के लिए निगरानी जोड़ने का प्रयास करके सत्यापित करें।