Changetection.io — это бесплатный инструмент обнаружения изменений веб-страниц с открытым исходным кодом. До версии 0.54.4 уязвимость Zip Slip в функции восстановления из резервной копии позволяла перезаписывать произвольные файлы посредством обхода пути в загруженных ZIP-архивах. Эта проблема исправлена в версии 0.54.4.
Показать оригинальное описание (EN)
changedetection.io is a free open source web page change detection tool. Prior to version 0.54.4, a Zip Slip vulnerability in the backup restore functionality allows arbitrary file overwrite via path traversal in uploaded ZIP archives. This issue has been patched in version 0.54.4.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 3
https://github.com/dgtlmoon/changedetection.io/commit/1d7d812eb0faab37042246e2f…
security-advisories@github.com
https://github.com/dgtlmoon/changedetection.io/releases/tag/0.54.4
security-advisories@github.com
https://github.com/dgtlmoon/changedetection.io/security/advisories/GHSA-25g8-2m…
security-advisories@github.com