Katalog CVE

CVE-2026-35000

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 - wyżej niż 20% wszystkich znanych CVE

Streszczenie

Podatność w ChangeDetection.io przed wersją 0.54.7 pozwala na ominięcie zabezpieczeń w parserze SafeXPath3Parser. Atakujący może odczytać dowolne pliki lokalne za pomocą nieblokowanych funkcji XPath 3.0/3.1, takich jak json-doc().

Ocena ryzyka

Ryzyko polega na możliwości kradzieży poufnych danych z systemu plików serwera, np. plików konfiguracyjnych, haseł lub kluczy API.

Rekomendacja

Zaleca się natychmiastową aktualizację ChangeDetection.io do wersji 0.54.7 lub nowszej, która zawiera pełną blokadę niebezpiecznych funkcji XPath.

Oryginalny opis (angielski, źródło NVD)

ChangeDetection.io versions prior to 0.54.7 contain a protection bypass vulnerability in the SafeXPath3Parser implementation that allows attackers to read arbitrary local files by using unblocked XPath 3.0/3.1 functions such as json-doc() and similar file-access primitives. Attackers can exploit the incomplete blocklist of dangerous XPath functions to access sensitive data from the local filesystem.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS