CVE-2024-51998

Versões do changedetection.io anteriores à 0.47.06

A validação do esquema de URI de arquivo no changedetection.io apresenta falhas, permitindo que um invasor leia qualquer arquivo no sistema. Esse problema afeta apenas instâncias com o webdriver ativado e ALLOW FILE URI definido como false ou não definido. A verificação is safe url permite file: como esquema de URL, mas verificações posteriores de permissão de arquivos locais exigem que a URL comece com file://. No entanto, o esquema de URI de arquivo não exige barras duplas, o que leva à vulnerabilidade.

Para versões anteriores à 0.47.06, atualize para a versão 0.47.06 para resolver o problema. Como solução temporária, considere desativar o webdriver ou definir ALLOW FILE URI como true até que a atualização possa ser aplicada. Restrinja o acesso à função is safe url para minimizar o risco de exploração. Evite usar o esquema file: em URLs até que o problema seja resolvido.