平台
python
组件
changedetection-io
修复版本
0.54.5
0.54.4
CVE-2026-29039 是 changedetection-io 应用中的一个任意文件访问漏洞。该漏洞源于应用未能正确验证或清理 XPath 表达式,导致攻击者能够利用 XPath 3.0 中的 unparsed-text() 函数读取服务器文件系统上的任意文件。受影响的版本包括 0.54.3 及更早版本。已发布补丁版本 0.54.4,建议尽快升级。
攻击者可以利用此漏洞读取服务器上的敏感文件,例如配置文件、数据库凭证、源代码等。如果服务器运行在共享主机环境中,攻击者可能能够访问其他用户的敏感数据。由于该应用通常用于监控网站变化,攻击者可能利用此漏洞获取网站管理员的私密信息。此漏洞的潜在影响范围取决于服务器上存储的数据类型和敏感程度,以及应用在网络中的位置。
此漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞未被添加到 CISA KEV 目录中。公开的 PoC 尚未发现,但由于漏洞的特性,预计未来可能会出现。
Organizations deploying changedetection-io, particularly those using it to monitor websites with sensitive content, are at risk. Shared hosting environments where multiple users have access to the changedetection-io instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through another user's configuration.
• python / server:
find / -name 'changedetection.io' -type d -print0 | xargs -0 grep -i 'unparsed-text()' • generic web:
curl -I http://your-changedetection-io-instance/ | grep -i 'include_filters'disclosure
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
最有效的缓解措施是立即将 changedetection-io 升级至 0.54.4 或更高版本。如果无法立即升级,可以尝试限制 XPath 表达式的复杂性,并避免使用 unparsed-text() 函数。此外,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意 XPath 表达式。在升级后,请验证应用是否能够正常运行,并检查服务器日志是否存在异常活动。
Actualice changedetection.io a la versión 0.54.4 o superior. Esta versión corrige la vulnerabilidad que permite la lectura arbitraria de archivos a través de la función unparsed-text() en las expresiones XPath.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-29039 是 changedetection-io 应用中的一个漏洞,攻击者可以通过 XPath 表达式读取服务器上的任意文件。
如果您正在使用 changedetection-io 的 0.54.3 或更早版本,则可能受到此漏洞的影响。
升级至 changedetection-io 的 0.54.4 或更高版本以修复此漏洞。
目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 changedetection-io 的官方 GitHub 仓库或官方网站获取更多信息。
上传你的 requirements.txt 文件,立即知道是否受影响。