Platform
python
Component
changedetection-io
Opgelost in
0.54.5
0.54.4
CVE-2026-29039 beschrijft een Arbitrary File Access kwetsbaarheid in de changedetection-io applicatie. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op het systeem te lezen, mits de applicatieprocessen toegang hebben tot die bestanden. De kwetsbaarheid treedt op in versies van changedetection-io tot en met 0.54.3. Een fix is beschikbaar in versie 0.54.4.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige informatie die op het systeem is opgeslagen. Aanvallers kunnen bijvoorbeeld configuratiebestanden, wachtwoorden, API-sleutels of andere vertrouwelijke gegevens lezen. De impact is aanzienlijk, omdat de kwetsbaarheid het mogelijk maakt om bestanden te lezen die anders beschermd zouden moeten zijn. De ernst wordt verhoogd doordat de XPath expressies, die de filter definieren, niet worden gevalideerd of gesanitiseerd, waardoor de gevaarlijke unparsed-text() functie gebruikt kan worden. Dit is vergelijkbaar met kwetsbaarheden waarbij onvoldoende inputvalidatie leidt tot ongeautoriseerde bestandslezing.
Deze kwetsbaarheid is openbaar gemaakt op 2026-03-04. Er zijn momenteel geen bekende actieve campagnes die deze kwetsbaarheid exploiteren, maar de publicatie van de details maakt het een aantrekkelijk doelwit voor aanvallers. Er zijn geen publieke Proof-of-Concept (PoC) exploits bekend, maar de kwetsbaarheid is relatief eenvoudig te exploiteren, wat het risico verhoogt. De KEV status is momenteel onbekend.
Organizations deploying changedetection-io, particularly those using it to monitor websites with sensitive content, are at risk. Shared hosting environments where multiple users have access to the changedetection-io instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through another user's configuration.
• python / server:
find / -name 'changedetection.io' -type d -print0 | xargs -0 grep -i 'unparsed-text()' • generic web:
curl -I http://your-changedetection-io-instance/ | grep -i 'include_filters'disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden van changedetection-io naar versie 0.54.4 of hoger. Indien een upgrade niet direct mogelijk is, kan een Web Application Firewall (WAF) worden ingezet om de unparsed-text() functie in XPath expressies te blokkeren. Configureer de WAF om verzoeken met deze functie te detecteren en te blokkeren. Alternatief kan een proxy worden gebruikt om de XPath expressies te filteren voordat ze de applicatie bereiken. Controleer de configuratie van changedetection-io om te zorgen dat er geen onnodige bestandstoegrechten zijn verleend aan de applicatieprocessen. Na de upgrade, controleer de logs op verdachte activiteit gerelateerd aan bestandstoegang.
Werk changedetection.io bij naar versie 0.54.4 of hoger. Deze versie corrigeert de kwetsbaarheid die het mogelijk maakt om willekeurige bestanden te lezen via de unparsed-text() functie in XPath-expressies.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-29039 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a changedetection-io server through crafted XPath expressions. It affects versions up to 0.54.3.
You are affected if you are running changedetection-io version 0.54.3 or earlier. Check your version and upgrade immediately.
Upgrade to version 0.54.4 or later. As a temporary workaround, restrict XPath expression usage and validate user input.
There is currently no evidence of active exploitation, but the vulnerability is relatively easy to exploit.
Refer to the changedetection-io project's release notes and security advisories on their GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.