CVE-2026-29038

Nome do Software Vulnerável e Versões Afetadas changedetection.io versões anteriores a 0.54.4

Descrição O software contém uma vulnerabilidade de cross-site scripting refletido (XSS) no endpoint /rss/tag/. O parâmetro de rota tag uuid é incluído diretamente na resposta HTTP sem escapamento HTML adequado. Como o Flask assume text/html como padrão para respostas de string, o JavaScript injetado é executado pelo navegador. O problema estava presente na versão 0.54.1, que abordou um XSS semelhante em /rss/watch/, mas não resolveu a questão no endpoint RSS de tags. O ataque requer um token de acesso RSS válido, disponível publicamente na página inicial. A exploração bem-sucedida pode levar ao roubo de cookies de sessão, comprometimento da conta e ataques de phishing. Estima-se que aproximadamente 500 implantações publicamente acessíveis estejam afetadas. O código vulnerável está localizado em changedetectionio/blueprint/rss/tag.py, na linha 36. O parâmetro vulnerável é tag uuid.

Recomendações Versões anteriores a 0.54.4: Escape o parâmetro tag uuid antes de incluí-lo na resposta ou defina o Content-Type como text/plain.