Platform
python
Component
changedetection-io
Opgelost in
0.54.2
0.54.1
Changedetection.io is kwetsbaar voor Server-Side Request Forgery (SSRF) als gevolg van onvoldoende validatie van URL's. De functie issafevalid_url() valideert niet correct het opgeloste IP-adres van watch URL's, waardoor toegang tot interne netwerkbronnen mogelijk is. Deze kwetsbaarheid treft versies van changedetection-io tot en met 0.53.7, maar is verholpen in versie 0.54.1.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid stelt een aanvaller in staat om server-side verzoeken te initiëren naar interne netwerkbronnen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit omvat het benaderen van interne services, databases en andere gevoelige systemen. Een aanvaller kan bijvoorbeeld interne metadata-services benaderen (zoals http://169.254.169.254) of interne webservers op loopback-adressen (http://127.0.0.1/). De impact kan variëren van het uitlekken van gevoelige informatie tot het verkrijgen van ongeautoriseerde toegang tot interne systemen en het uitvoeren van verdere aanvallen, afhankelijk van de privileges van de changedetection-io applicatie en de configuratie van het interne netwerk. Dit is vergelijkbaar met SSRF-aanvallen die in andere applicaties zijn waargenomen, waarbij interne bronnen worden blootgesteld door middel van onvoldoende validatie.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-02-25. Er is geen informatie beschikbaar over actieve exploits of campagnes die specifiek gericht zijn op deze kwetsbaarheid. De KEV-status is momenteel onbekend. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst een PoC zal verschijnen.
Organizations running changedetection-io, particularly those with default configurations (no password protection) or those exposing the application to untrusted networks, are at significant risk. Shared hosting environments where users can add custom watch URLs are also particularly vulnerable.
• python / server:
journalctl -u changedetection-io -g 'SSRF' --since "1h"• generic web:
curl -I http://<changedetection-io-ip>/watch/ -s | grep 'Server:'disclosure
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor deze kwetsbaarheid is het upgraden naar versie 0.54.1 van changedetection-io. Deze versie bevat de benodigde correcties om de URL-validatie te verbeteren en SSRF-aanvallen te voorkomen. Als een directe upgrade niet mogelijk is, kan een tijdelijke workaround het implementeren van een Web Application Firewall (WAF) zijn die verzoeken naar interne IP-adressen blokkeert. Configureer de WAF om verzoeken met bestemmingen zoals 169.254.169.254, 10.0.0.1 en 127.0.0.1 te blokkeren. Controleer ook de configuratie van changedetection-io om er zeker van te zijn dat er geen onnodige toegang tot interne netwerkbronnen wordt verleend. Na de upgrade, controleer de logs van changedetection-io om te bevestigen dat er geen verdachte verzoeken naar interne bronnen worden gedaan.
Werk changedetection.io bij naar versie 0.54.1 of hoger. Deze versie bevat een correctie voor de SSRF-kwetsbaarheid. De update voorkomt dat geauthenticeerde (of niet-geauthenticeerde gebruikers als er geen wachtwoord is geconfigureerd) de kwetsbaarheid kunnen exploiteren om toegang te krijgen tot interne URLs en data te exfiltreren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27696 is a Server-Side Request Forgery vulnerability in changedetection-io versions up to 0.53.7, allowing attackers to access internal network resources.
You are affected if you are running changedetection-io version 0.53.7 or earlier. Check your version and upgrade immediately.
Upgrade changedetection-io to version 0.54.1 or later to resolve the SSRF vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
There is currently no confirmed active exploitation of CVE-2026-27696, but the vulnerability's nature makes it potentially exploitable.
Refer to the changedetection-io project's official release notes and security advisories for details: [https://github.com/changedetectionio/changedetectionio](https://github.com/changedetectionio/changedetectionio)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.