HIGHCVE-2026-29039CVSS 7.5

changedetection.io は XPath - unparsed-text() を介した任意のファイル読み込みの脆弱性があります

Q: CVE-2026-29039 — 任意ファイルアクセス in changedetection-ioとは何ですか？

CVE-2026-29039は、changedetection-ioのバージョン0.54.3以前におけるXPath式を介した任意ファイルアクセス脆弱性です。攻撃者はこの脆弱性を悪用して、ファイルシステム上の任意のファイルを読み取ることが可能です。

Q: CVE-2026-29039 in changedetection-ioの影響はありますか？

changedetection-ioのバージョン0.54.3以前を使用している場合は、影響を受ける可能性があります。機密情報がファイルシステム上に保存されている環境では、特に注意が必要です。

Q: CVE-2026-29039 in changedetection-ioを修正するにはどうすればよいですか？

changedetection-ioをバージョン0.54.4以上にアップデートすることで修正できます。アップデートが困難な場合は、XPath式の入力を厳密に検証するフィルタリングルールを実装してください。

Q: CVE-2026-29039に関するchangedetection-ioの公式アドバイザリはどこで入手できますか？

changedetection-ioの公式アドバイザリは、プロジェクトのGitHubリポジトリまたは公式ウェブサイトで確認できます。

プラットフォーム

python

コンポーネント

changedetection-io

修正版

0.54.5

0.54.4

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

changedetection-ioのバージョン0.54.3以前には、XPath式を介した任意ファイルアクセス脆弱性が存在します。この脆弱性は、攻撃者がXPath式内のunparsed-text()関数を利用することで、アプリケーションプロセスがアクセス可能なファイルシステム上の任意のファイルを読み取れることを意味します。影響を受けるバージョンは0.54.3以前であり、バージョン0.54.4へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は機密情報を含むファイル（設定ファイル、ログファイル、ソースコードなど）を読み取ることが可能になります。攻撃者は、unparsed-text()関数とXPath式を組み合わせることで、ファイルパスを操作し、意図しないファイルを読み込むことができます。この脆弱性は、特に機密情報がファイルシステム上に保存されている環境において、重大なセキュリティリスクをもたらします。攻撃者は、取得した情報を悪用して、さらなる攻撃（情報窃取、システム改ざんなど）を実行する可能性があります。

悪用の状況

この脆弱性は2026年3月4日に公開されました。現時点では、公開されているPoCは確認されていませんが、XPath式を悪用したファイルアクセス攻撃は過去にも発生しており、早期の悪用が懸念されます。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Organizations deploying changedetection-io, particularly those using it to monitor websites with sensitive content, are at risk. Shared hosting environments where multiple users have access to the changedetection-io instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through another user's configuration.

検出手順翻訳中…

• python / server:

find / -name 'changedetection.io' -type d -print0 | xargs -0 grep -i 'unparsed-text()'

• generic web:

curl -I http://your-changedetection-io-instance/ | grep -i 'include_filters'

攻撃タイムライン

2026-03-04Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.01% (2% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントchangedetection-io

ベンダーosv

影響範囲修正版

< 0.54.4 – < 0.54.40.54.5

—0.54.4

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2026-03-03
公開日2026-03-04
更新日2026-03-06
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、まずchangedetection-ioをバージョン0.54.4以上にアップデートすることを推奨します。アップデートが困難な場合は、XPath式の入力を厳密に検証し、unparsed-text()関数の使用を禁止するフィルタリングルールを実装することを検討してください。WAF（Web Application Firewall）やプロキシサーバーを使用して、悪意のあるXPath式をブロックすることも有効です。また、アプリケーションプロセスがアクセスできるファイルシステムの範囲を制限することも、リスク軽減に役立ちます。

修正方法

changedetection.io をバージョン 0.54.4 以降にアップデートしてください。このバージョンは、XPath 式内の unparsed-text() 関数を介した任意のファイル読み込みの脆弱性を修正します。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-29039 — 任意ファイルアクセス in changedetection-ioとは何ですか？