CVE-2024-56509

Versões do changedetection.io anteriores à 0.48.05

O problema está relacionado à validação inadequada de entradas no aplicativo, o que pode permitir que invasores realizem ataques de leitura de arquivos locais (LFR) ou de traversal de caminho. Esses ataques ocorrem quando a entrada do usuário é usada para construir caminhos de arquivos sem sanitização ou validação adequadas. Por exemplo, usar file:../../../etc/passwd ou file: ///etc/passwd pode contornar validações fracas e permitir acesso não autorizado a arquivos confidenciais. A vulnerabilidade é explorada usando entradas específicas, como file:../../../../etc/passwd ou file: ///etc/passwd (com espaço antes do /), para contornar verificações insuficientes no código.

Para versões do changedetection.io anteriores à 0.48.05, atualize para a versão 0.48.05 para corrigir o problema. Como solução temporária, considere restringir o uso do protocolo file: no aplicativo para minimizar o risco de exploração. Evite usar o protocolo file: com entradas não confiáveis até que o problema seja resolvido.