Changetection.io — это бесплатный инструмент обнаружения изменений веб-страниц с открытым исходным кодом. В версиях до 0.53.2 маршрут `/static/<group>/<filename>` принимает `group=".."`, что вызывает выполнение `send_from_directory("static/..", filename)`. При этом базовый каталог перемещается вверх в `/app/changedetectionio`, позволяя неаутентифицированное локальное чтение исходных файлов приложения (например, `flask_app.py`).
Версия 0.53.2 устраняет проблему.
Показать оригинальное описание (EN)
changedetection.io is a free open source web page change detection tool. In versions prior to 0.53.2, the `/static/<group>/<filename>` route accepts `group=".."`, which causes `send_from_directory("static/..", filename)` to execute. This moves the base directory up to `/app/changedetectionio`, enabling unauthenticated local file read of application source files (e.g., `flask_app.py`). Version 0.53.2 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Webtechnologies Changedetection
cpe:2.3:a:webtechnologies:changedetection:*:*:*:*:*:*:*:*
|
— |
0.53.2
|