PT-2026-21866 · Unknown · Changedetection.Io

Akokonunes

+1

·

Publicado

2026-02-25

·

Atualizado

2026-03-12

·

CVE-2026-27645

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas changedetection.io versões anteriores a 0.54.1
Descrição O aplicativo reflete diretamente o parâmetro de rota UUID no corpo da resposta HTTP sem escape HTML no endpoint single-watch RSS. Como o Flask define como padrão retornar text/html para respostas de string simples, o navegador analisa e executa o JavaScript injetado. Isso poderia permitir ataques de cross-site scripting (XSS) potenciais.
Recomendações Atualize para a versão 0.54.1 ou posterior.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

CVE-2026-27645
GHSA-MW8M-398G-H89W

Produtos afetados

Changedetection.Io