CVE-2024-32651

changedetection.io versão 0.45.20

A vulnerabilidade consiste em uma injeção de modelo no lado do servidor (SSTI) no Jinja2, que permite a execução remota de comandos no servidor. Os invasores podem executar qualquer comando do sistema sem restrições e podem utilizar um shell reverso. O impacto é crítico, pois o invasor pode assumir o controle total do servidor. Esse risco pode ser reduzido se o changedetection estiver protegido por uma página de login, mas isso não é exigido pelo aplicativo.

Para a versão 0.45.20, considere proteger o acesso ao changedetection com uma página de login e senha para reduzir o risco de exploração. Como solução temporária, restrinja o acesso ao mecanismo de modelos Jinja2 vulnerável até que um patch esteja disponível. Evite usar os parâmetros notification body e notification title no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.