CVE-2026-33981 in changedetection.ioinformazioni

Riassunto

di VulDB • 19/06/2026

changedetection.io è uno strumento gratuito e open source per il rilevamento delle modifiche alle pagine web. Prima della versione 0.54.7, le espressioni di filtro include `jq:` e `jqraw:` consentivano l'uso del builtin jq `env`, che legge tutte le variabili d'ambiente del processo e le memorizza come snapshot dell'osservazione (watch). Un utente autenticato (o un utente non autenticato quando nessuna password è impostata, configurazione predefinita) può fuoriuscire (leak) variabili d'ambiente sensibili tra cui `SALTED_PASS`, `PLAYWRIGHT_DRIVER_URL`, `HTTP_PROXY` e qualsiasi segreto passato come variabile d'ambiente al container. La versione 0.54.7 corregge la vulnerabilità.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

24/03/2026

Divulgazione

28/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00475

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!