HIGHCVE-2026-27696CVSS 8.6

changedetection.io は Watch URLs を介した SSRF に脆弱

Q: CVE-2026-27696 — SSRF in changedetection-ioとは何ですか？

CVE-2026-27696は、changedetection-ioのバージョン0.53.7以下において、URL検証の不備により発生するServer-Side Request Forgery (SSRF) 脆弱性です。攻撃者は内部ネットワークへのアクセスを許可し、機密情報を漏洩させる可能性があります。

Q: CVE-2026-27696 in changedetection-ioの影響はありますか？

changedetection-ioのバージョン0.53.7以下を使用している場合、影響を受ける可能性があります。内部ネットワークへの不正アクセスや情報漏洩のリスクがあります。

Q: CVE-2026-27696 in changedetection-ioを修正するにはどうすればよいですか？

バージョン0.54.1以上にアップデートしてください。アップデートが困難な場合は、監視対象のURLに内部IPアドレス範囲が含まれていないか確認し、除外してください。

Q: CVE-2026-27696は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、SSRF脆弱性は比較的悪用が容易であるため、今後悪用される可能性は否定できません。

Q: CVE-2026-27696に関するchangedetection-ioの公式アドバイザリはどこで入手できますか？

changedetection-ioの公式リポジトリまたはウェブサイトで最新のアドバイザリをご確認ください。

プラットフォーム

python

コンポーネント

changedetection-io

修正版

0.54.2

0.54.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

changedetection-ioは、ウェブサイトの変更を監視するツールです。CVE-2026-27696は、URL検証の不備により、Server-Side Request Forgery (SSRF) 脆弱性が存在します。攻撃者は、内部ネットワークのURLを監視対象として登録することで、サーバー側でこれらのURLをフェッチし、その内容をウェブUIを通じて閲覧できるようになります。この脆弱性は、バージョン0.53.7以下のchangedetection-ioに影響を与えます。バージョン0.54.1へのアップデートで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者は内部ネットワーク上の機密情報にアクセスできる可能性があります。例えば、内部のデータベースやAPIエンドポイントにアクセスし、認証情報を盗み出したり、機密データを窃取したりすることが考えられます。また、内部ネットワーク上の他のシステムへの攻撃の足がかりとして利用される可能性もあります。特に、changedetection-ioが内部ネットワークに公開されている場合、攻撃の影響範囲は広がる可能性があります。類似のSSRF脆弱性は、内部ネットワークへの不正アクセスや情報漏洩に繋がる重大なリスクをもたらします。

悪用の状況

この脆弱性は、2026年2月25日に公開されました。現時点では、公的なPoCは確認されていませんが、SSRF脆弱性は比較的悪用が容易であるため、今後悪用される可能性は否定できません。CISA KEVへの登録状況は確認されていません。NVD（National Vulnerability Database）の情報も参照し、最新の状況を把握するようにしてください。

リスク対象者翻訳中…

Organizations running changedetection-io, particularly those with default configurations (no password protection) or those exposing the application to untrusted networks, are at significant risk. Shared hosting environments where users can add custom watch URLs are also particularly vulnerable.

検出手順翻訳中…

• python / server:

journalctl -u changedetection-io -g 'SSRF' --since "1h"

• generic web:

curl -I http://<changedetection-io-ip>/watch/ -s | grep 'Server:'

攻撃タイムライン

2026-02-25Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート4 件の脅威レポート

EPSS

0.01% (3% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントchangedetection-io

ベンダーosv

影響範囲修正版

< 0.54.1 – < 0.54.10.54.2

—0.54.1

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2026-02-23
公開日2026-02-25
EPSS 更新日2026-03-23

緩和策と回避策

まず、affectedバージョンを使用している場合は、速やかにバージョン0.54.1以上にアップデートしてください。アップデートが困難な場合は、監視対象のURLに、内部ネットワークのIPアドレス範囲（169.254.169.254、10.0.0.1、127.0.0.1など）が含まれていないか確認し、該当するURLを監視対象から除外してください。WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することも有効です。また、changedetection-ioの実行環境を、外部ネットワークから隔離することも検討してください。アップデート後、監視機能が正常に動作することを確認してください。

修正方法

changedetection.io をバージョン 0.54.1 以降にアップデートしてください。このバージョンには SSRF 脆弱性に対する修正が含まれています。アップデートにより、認証されたユーザー（またはパスワードが設定されていない場合、認証されていないユーザー）が脆弱性を悪用して内部 URL にアクセスし、データを漏洩することを防ぎます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-27696 — SSRF in changedetection-ioとは何ですか？