changedetection.io 存在不当输入验证漏洞，可能导致 LFR/路径遍历

攻击者可以利用此路径遍历漏洞，通过构造恶意的文件路径，访问服务器上的敏感文件，例如配置文件、源代码或用户数据。攻击者可能通过 file:../../../etc/passwd 或 file: ///etc/passwd 等字符串绕过验证机制。成功利用此漏洞可能导致信息泄露，甚至可能允许攻击者在服务器上执行恶意代码，具体取决于服务器的配置和权限。虽然之前的补丁试图解决此问题，但仍然存在不足，需要升级至最新版本。

Users running changedetection-io versions prior to 0.48.05, particularly those deploying the application in environments with sensitive data or where the server's file system is accessible via the web. Shared hosting environments where users have limited control over the application's configuration are also at increased risk.

• python / server: Examine application logs for requests containing suspicious file paths, particularly those using ../ sequences. Use grep to search for patterns like file:../../../ in access logs. • generic web: Use curl or wget to attempt accessing files outside the intended directory structure (e.g., curl http://your-changedetection-io-instance/file:../../../etc/passwd). • python / server: Monitor process execution for unexpected file access patterns using tools like auditd or sysdig.

1. 2024-12-27Disclosure

   disclosure

1. 已保留2024-12-26
2. 发布日期2024-12-27
3. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将 changedetection-io 升级至 0.48.05 或更高版本。如果升级会导致应用程序中断，可以考虑回滚到之前的稳定版本，并实施额外的安全措施，例如限制应用程序的访问权限，并对所有用户输入进行严格的验证。此外，可以配置 Web 应用防火墙 (WAF) 或代理服务器，以阻止包含恶意文件路径的请求。建议定期审查应用程序的配置，并确保所有用户输入都经过适当的验证和过滤。