HIGHCVE-2026-29065CVSS 7.5

changedetection.io には、バックアップ復元機能に Zip Slip の脆弱性が存在します

Q: CVE-2026-29065 — Zip Slip vulnerability in changedetection-ioとは何ですか？

CVE-2026-29065は、changedetection-ioのバックアップ復元機能におけるZip Slip脆弱性であり、攻撃者がZIPアーカイブ内のパス操作により任意のファイルを上書きできる可能性があります。

Q: CVE-2026-29065 in changedetection-ioに影響を受けますか？

changedetection-ioのバージョンが0.54.3以前の場合は、影響を受けます。バージョン0.54.4以降にアップデートすることで、この脆弱性は修正されます。

Q: CVE-2026-29065 in changedetection-ioを修正するにはどうすればよいですか？

changedetection-ioをバージョン0.54.4以降にアップデートしてください。アップデートが困難な場合は、バックアップ復元機能の使用を一時停止するか、ZIPアーカイブのアップロードを制限するなどの対策を講じてください。

Q: CVE-2026-29065は積極的に悪用されていますか？

現時点では公的な悪用事例は確認されていませんが、Zip Slip脆弱性は悪用事例が多く、今後悪用される可能性は高いと考えられます。

Q: CVE-2026-29065に関するchangedetection-ioの公式アドバイザリはどこで入手できますか？

changedetection-ioの公式アドバイザリは、プロジェクトのGitHubリポジトリまたは公式ウェブサイトで確認できます。

プラットフォーム

python

コンポーネント

changedetection-io

修正版

0.54.5

0.54.4

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-29065は、changedetection-ioのバックアップ復元機能に存在するZip Slip脆弱性です。この脆弱性は、攻撃者がZIPアーカイブ内のパス操作を利用して、任意のファイルを上書きすることを可能にします。影響を受けるバージョンは0.54.3以前であり、0.54.4へのアップデートで修正されています。

影響と攻撃シナリオ

このZip Slip脆弱性は、攻撃者が悪意のあるZIPアーカイブをアップロードすることで、システム上の重要なファイルを上書きする可能性があります。例えば、設定ファイルや実行ファイルを上書きすることで、システムの挙動を制御したり、機密情報を盗み出したりすることが考えられます。攻撃者は、バックアップ復元機能を悪用して、システムへのアクセス権を得ることを目指す可能性があります。この脆弱性の影響範囲は、バックアップ復元機能が利用されているシステム全体に及ぶ可能性があります。

悪用の状況

この脆弱性は、2026年3月4日に公開されました。現時点では、公的なPoC（Proof of Concept）は確認されていませんが、Zip Slip脆弱性は悪用事例が多く、今後悪用される可能性は高いと考えられます。CISA KEVへの登録状況は不明です。

リスク対象者翻訳中…

Systems running changedetection-io versions prior to 0.54.4 are at risk. This includes users who have not applied security updates and those who rely on the backup and restore functionality for data protection. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromised user could potentially exploit this vulnerability to affect other users.

検出手順翻訳中…

• python / server:

find / -name 'changedetection-io' -type d -exec grep -i 'zipfile.ZipFile' {}/ -H 2>/dev/null | grep -i 'extractall'

• generic web:

curl -I <changedetection-io_url>/restore_backup.php # Check for endpoint exposure

攻撃タイムライン

2026-03-04Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.07% (21% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントchangedetection-io

ベンダーosv

影響範囲修正版

< 0.54.4 – < 0.54.40.54.5

—0.54.4

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-03
公開日2026-03-04
更新日2026-03-06
EPSS 更新日2026-03-23

緩和策と回避策

まず、changedetection-ioをバージョン0.54.4以降にアップデートすることを強く推奨します。アップデートが直ちに不可能である場合は、バックアップ復元機能の使用を一時的に停止するか、ZIPアーカイブのアップロードを制限するなどの対策を講じる必要があります。WAF（Web Application Firewall）を導入し、パス操作攻撃を検知・防御することも有効です。ZIPアーカイブのアップロード前に、ファイルパスを厳密に検証するカスタムスクリプトを実装することも検討してください。

修正方法

changedetection.io をバージョン 0.54.4 以降にアップデートしてください。このバージョンは、バックアップ復元中に任意のファイルを上書きできる Zip Slip 脆弱性を修正しています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-29065 — Zip Slip vulnerability in changedetection-ioとは何ですか？