Changetection.io — это бесплатный инструмент обнаружения изменений веб-страниц с открытым исходным кодом. До версии 0.54.4 существовала отраженная уязвимость межсайтового скриптинга (XSS), обнаруженная в конечной точке /rss/tag/ файлаchangetection.io. Параметр пути tag_uuid отображается непосредственно в теле ответа HTTP без экранирования HTML.
Поскольку Flask по умолчанию возвращает text/html для ответов в виде простой строки, браузер анализирует и выполняет внедренный JavaScript. Эта проблема исправлена в версии 0.54.4.
Показать оригинальное описание (EN)
changedetection.io is a free open source web page change detection tool. Prior to version 0.54.4, there is a reflected cross-site scripting (XSS) vulnerability identified in the /rss/tag/ endpoint of changedetection.io. The tag_uuid path parameter is reflected directly in the HTTP response body without HTML escaping. Since Flask returns text/html by default for plain string responses, the browser parses and executes injected JavaScript. This issue has been patched in version 0.54.4.
Характеристики атаки
Последствия
Строка CVSS v3.1