Platform
python
Component
changedetection-io
Opgelost in
0.54.5
0.54.4
CVE-2026-29065 describes a Zip Slip vulnerability affecting changedetection-io versions up to 0.54.3. This flaw allows attackers to overwrite arbitrary files on the system during the backup restore process by crafting malicious ZIP archives with path traversal sequences. The vulnerability stems from insufficient validation of file paths during extraction. A patch is available in version 0.54.4.
Een succesvolle exploitatie van deze Zip Slip kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te overschrijven. Dit kan leiden tot het compromitteren van de applicatie, het manipuleren van configuratiebestanden, het uitvoeren van kwaadaardige code of het verkrijgen van ongeautoriseerde toegang tot gevoelige gegevens. De impact is aanzienlijk, aangezien de aanvaller de controle over het systeem kan overnemen. Verder kan dit leiden tot dataverlies of -corruptie, afhankelijk van welke bestanden worden overschreven. De blast radius is afhankelijk van de permissies van de gebruiker die de backup restore uitvoert.
Op dit moment is er geen informatie beschikbaar over actieve exploits in de wild. Er zijn ook geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is openbaar gemaakt op 2026-03-04. De ernst van de kwetsbaarheid is beoordeeld als HIGH met een CVSS score van 7.5. Het is aan te raden om deze kwetsbaarheid serieus te nemen en de aanbevolen mitigaties te implementeren.
Systems running changedetection-io versions prior to 0.54.4 are at risk. This includes users who have not applied security updates and those who rely on the backup and restore functionality for data protection. Shared hosting environments where multiple users share the same server instance are particularly vulnerable, as a compromised user could potentially exploit this vulnerability to affect other users.
• python / server:
find / -name 'changedetection-io' -type d -exec grep -i 'zipfile.ZipFile' {}/ -H 2>/dev/null | grep -i 'extractall' • generic web:
curl -I <changedetection-io_url>/restore_backup.php # Check for endpoint exposuredisclosure
Exploit Status
EPSS
0.07% (21% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-29065 is het upgraden van changedetection-io naar versie 0.54.4 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strenge padvalidatie bij het extraheren van ZIP-archieven. Dit kan worden bereikt door de extractiepaden te controleren en te filteren op potentieel schadelijke patronen zoals ../. Daarnaast kan het gebruik van een Web Application Firewall (WAF) helpen om verdachte uploads te blokkeren. Controleer ook de permissies van de gebruiker die de backup restore uitvoert om de impact van een succesvolle exploitatie te beperken.
Actualiseer changedetection.io naar versie 0.54.4 of hoger. Deze versie corrigeert de Zip Slip kwetsbaarheid die willekeurige bestandsoverwriting tijdens het herstellen van back-ups mogelijk maakt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-29065 is a high-severity vulnerability in changedetection-io versions up to 0.54.3 that allows attackers to overwrite files via path traversal in uploaded ZIP archives during backup restore.
You are affected if you are running changedetection-io versions prior to 0.54.4. Check your version and upgrade immediately if vulnerable.
Upgrade changedetection-io to version 0.54.4 or later to patch the vulnerability. Restrict access to the restore functionality as a temporary measure.
As of now, there are no confirmed reports of active exploitation, but the vulnerability is easily exploitable and should be patched promptly.
Refer to the changedetection-io project's official release notes and security advisories on their GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.