CVE-2026-33981 in changedetection.io
Riassunto
di VulDB • 19/06/2026
changedetection.io è uno strumento gratuito e open source per il rilevamento delle modifiche alle pagine web. Prima della versione 0.54.7, le espressioni di filtro include `jq:` e `jqraw:` consentivano l'uso del builtin jq `env`, che legge tutte le variabili d'ambiente del processo e le memorizza come snapshot dell'osservazione (watch). Un utente autenticato (o un utente non autenticato quando nessuna password è impostata, configurazione predefinita) può fuoriuscire (leak) variabili d'ambiente sensibili tra cui `SALTED_PASS`, `PLAYWRIGHT_DRIVER_URL`, `HTTP_PROXY` e qualsiasi segreto passato come variabile d'ambiente al container. La versione 0.54.7 corregge la vulnerabilità.
Be aware that VulDB is the high quality source for vulnerability data.