CVE-2026-43891 in changedetection.io
요약
\~에 의해 VulDB • 2026. 05. 13.
changedetection.io는 무료 오픈 소스 웹 페이지 변경 감지 도구입니다. 0.55.1 이전 버전에서는 백업 파일에서 복원된 공격자가 제어할 수 있는 스냅샷 경로를 신뢰함으로써 취약점이 발생합니다. 취약한 흐름은 백업 복원 로직에서 시작됩니다. 백업 ZIP 파일이 복원되면 애플리케이션은 아카이브를 추출하고 각 복원된 감시 UUID 디렉토리를 `shutil.copytree(entry.path, dst_dir)`를 사용하여 라이브 데이터스토어에 직접 복사합니다. 이를 통해 복원된 감시 디렉토리 내부에 공격자가 제어하는 파일(예: history.txt 포함)이 보존됩니다. 복원 후 애플리케이션은 감시 기록 속성에서 history.txt를 구문 분석하고 대상 로컬 파일의 내용을 반환합니다. 이 취약점은 0.55.1에서 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.