Plataforma
python
Componente
changedetection-io
Corrigido em
0.54.5
0.54.4
A vulnerabilidade CVE-2026-29039 afeta a aplicação changedetection-io, permitindo acesso arbitrário a arquivos. A falha ocorre devido à falta de validação de expressões XPath utilizadas como filtros de conteúdo, possibilitando a leitura de arquivos pelo processo da aplicação. Versões afetadas são aquelas anteriores ou iguais a 0.54.3. A correção foi disponibilizada na versão 0.54.4.
Um atacante pode explorar esta vulnerabilidade injetando expressões XPath maliciosas no campo 'include_filters'. A função unparsed-text() do XPath 3.0, utilizada pela biblioteca elementpath, permite a leitura de arquivos do sistema de arquivos. Isso significa que um invasor pode potencialmente acessar arquivos de configuração, chaves de API, dados de usuários ou qualquer outro arquivo acessível ao processo do changedetection-io. O impacto é a exposição de informações confidenciais e a possível comprometimento da integridade do sistema. A ausência de validação adequada torna a exploração relativamente simples, especialmente para usuários familiarizados com XPath.
A vulnerabilidade foi divulgada em 04 de março de 2026. Não há indicações de exploração ativa em campanhas direcionadas no momento. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) e a probabilidade de exploração é considerada baixa a média, dependendo da exposição da aplicação e da conscientização dos administradores. Consulte o aviso oficial do projeto para obter mais informações.
Organizations deploying changedetection-io, particularly those using it to monitor websites with sensitive content, are at risk. Shared hosting environments where multiple users have access to the changedetection-io instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through another user's configuration.
• python / server:
find / -name 'changedetection.io' -type d -print0 | xargs -0 grep -i 'unparsed-text()' • generic web:
curl -I http://your-changedetection-io-instance/ | grep -i 'include_filters'disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
A mitigação primária é atualizar a aplicação changedetection-io para a versão 0.54.4 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, a utilização de filtros XPath seguros é crucial. Evite o uso de expressões XPath complexas e, se necessário, utilize uma lista branca de elementos permitidos. Implementar um Web Application Firewall (WAF) com regras para bloquear expressões XPath contendo a função unparsed-text() pode fornecer uma camada adicional de proteção. Monitore os logs da aplicação em busca de tentativas de acesso a arquivos inesperados.
Actualice changedetection.io a la versión 0.54.4 o superior. Esta versión corrige la vulnerabilidad que permite la lectura arbitraria de archivos a través de la función unparsed-text() en las expresiones XPath.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-29039 is a HIGH severity vulnerability allowing attackers to read arbitrary files on a changedetection-io server through crafted XPath expressions. It affects versions up to 0.54.3.
You are affected if you are running changedetection-io version 0.54.3 or earlier. Check your version and upgrade immediately.
Upgrade to version 0.54.4 or later. As a temporary workaround, restrict XPath expression usage and validate user input.
There is currently no evidence of active exploitation, but the vulnerability is relatively easy to exploit.
Refer to the changedetection-io project's release notes and security advisories on their GitHub repository for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.