Plataforma
python
Componente
changedetection-io
Corrigido em
0.54.2
0.54.1
O changedetection-io, uma ferramenta de monitoramento de websites, apresenta uma vulnerabilidade de Server-Side Request Forgery (SSRF). Essa falha ocorre devido à validação inadequada de URLs, permitindo que usuários autenticados (ou qualquer usuário em configurações padrão sem senha) adicionem monitoramentos para URLs internas, como endereços IP privados. A aplicação busca essas URLs no servidor, armazenando o conteúdo e tornando-o acessível através da interface web.
Um atacante pode explorar essa vulnerabilidade para acessar recursos internos que não deveriam ser acessíveis externamente. Isso inclui a leitura de arquivos de configuração, a interação com serviços internos e, potencialmente, o acesso a dados sensíveis armazenados em servidores internos. O ataque pode ser realizado sem autenticação em configurações padrão, ampliando o escopo do risco. A capacidade de acessar URLs internas permite a descoberta de outros serviços e aplicações rodando na rede interna, abrindo caminho para ataques mais sofisticados e a movimentação lateral dentro da infraestrutura.
Esta vulnerabilidade foi divulgada em 25 de fevereiro de 2026. Não há evidências de exploração ativa no momento da publicação. A pontuação EPSS ainda não foi determinada. A vulnerabilidade é considerada de alta severidade devido ao seu potencial de impacto e à facilidade de exploração em configurações padrão.
Organizations running changedetection-io, particularly those with default configurations (no password protection) or those exposing the application to untrusted networks, are at significant risk. Shared hosting environments where users can add custom watch URLs are also particularly vulnerable.
• python / server:
journalctl -u changedetection-io -g 'SSRF' --since "1h"• generic web:
curl -I http://<changedetection-io-ip>/watch/ -s | grep 'Server:'disclosure
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o changedetection-io para a versão 0.54.1 ou superior, que corrige a validação de URLs. Como alternativa, implemente regras de firewall para bloquear o acesso a endereços IP privados e loopback. Valide rigorosamente todas as URLs fornecidas pelos usuários, verificando se elas correspondem a um domínio esperado e não apontam para endereços internos. Considere a implementação de um Web Application Firewall (WAF) para detectar e bloquear tentativas de SSRF.
Atualize changedetection.io para a versão 0.54.1 ou superior. Esta versão contém uma correção para a vulnerabilidade SSRF. A atualização evitará que usuários autenticados (ou não autenticados se nenhuma senha for configurada) possam explorar a vulnerabilidade para acessar URLs internas e exfiltrar dados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27696 is a Server-Side Request Forgery vulnerability in changedetection-io versions up to 0.53.7, allowing attackers to access internal network resources.
You are affected if you are running changedetection-io version 0.53.7 or earlier. Check your version and upgrade immediately.
Upgrade changedetection-io to version 0.54.1 or later to resolve the SSRF vulnerability. Consider temporary workarounds if immediate upgrade is not possible.
There is currently no confirmed active exploitation of CVE-2026-27696, but the vulnerability's nature makes it potentially exploitable.
Refer to the changedetection-io project's official release notes and security advisories for details: [https://github.com/changedetectionio/changedetectionio](https://github.com/changedetectionio/changedetectionio)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.