CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-35490

Critical
Published: Translated: NVD NIST

Summary

W narzędziu do wykrywania zmian na stronach internetowych changedetection.io, przed wersją 0.54.8, dekorator @login_optionally_required był umieszczony przed dekoratorem @blueprint.route(). W Flask dekorator @route() powinien być zewnętrznym dekoratorem, co w tym przypadku powodowało, że funkcja nie była odpowiednio zabezpieczona.

Risk Assessment

Brak odpowiedniej autoryzacji na trasach może prowadzić do nieautoryzowanego dostępu do chronionych zasobów, co stanowi poważne zagrożenie dla bezpieczeństwa aplikacji.

Recommendation

Zaleca się aktualizację do wersji 0.54.8 lub nowszej, aby przywrócić prawidłową kolejność dekoratorów i zapewnić odpowiednią autoryzację na trasach.

Original NVD description (English source)

changedetection.io is a free open source web page change detection tool. Prior to 0.54.8, the @login_optionally_required decorator is placed before (outer to) @blueprint.route() instead of after it. In Flask, @route() must be the outermost decorator because it registers the function it receives. When the order is reversed, @route() registers the original undecorated function, and the auth wrapper is never in the call chain. This silently disables authentication on these routes. This vulnerability is fixed in 0.54.8.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS