Версии ChangeDetection.io до 0.54.7 содержат уязвимость обхода защиты в реализации SafeXPath3Parser, которая позволяет злоумышленникам читать произвольные локальные файлы с помощью разблокированных функций XPath 3.0/3.1, таких как json-doc() и аналогичных примитивов доступа к файлам. Злоумышленники могут использовать неполный черный список опасных функций XPath для доступа к конфиденциальным данным из локальной файловой системы.
Показать оригинальное описание (EN)
ChangeDetection.io versions prior to 0.54.7 contain a protection bypass vulnerability in the SafeXPath3Parser implementation that allows attackers to read arbitrary local files by using unblocked XPath 3.0/3.1 functions such as json-doc() and similar file-access primitives. Attackers can exploit the incomplete blocklist of dangerous XPath functions to access sensitive data from the local filesystem.
Характеристики атаки
Последствия
Строка CVSS v4.0