CVE-2024-51998

ALT (8,6)

CVSS3: 7,5

changedetection.io podria permetre que un atacant remot se salti directoris del sistema, causat per una validació incorrecta de la sol·licitud de l’usuari per l’esquema d’URI del fitxer. Un atacant podria enviar una sol·licitud d’URL especialment dissenyada que contingui seqüències de “punts” (/../) per veure fitxers arbitraris al sistema.

Sistemes Afectats

• changedetection.io changedetection.io – < 0.47.05

Remediació
Actualitzeu a la darrera versió de changedetection.io (0.47.06 o posterior), disponible al repositori GIT de changedetection.io. Vegeu-ne les Referències.

Referències

• https://github.com/dgtlmoon/changedetection.io/security/advisories/GHSA-6jrf-rcjf-245r
• https://github.com/dgtlmoon/changedetection.io/commit/49bc982c697169c98b79698889fb9d26f6b3317f
• https://github.com/dgtlmoon/changedetection.io/blob/e0abf0b50507a8a3d0c1d8522ab23519b3e4cdf4/changedetectionio/model/Watch.py#L11-L13