CVE-2026-35490

Nome do Software Vulnerável e Versões Afetadas: changedetection.io versões anteriores a 0.54.8

Descrição: O decorador @login optionally required foi incorretamente posicionado antes de @blueprint.route() em 13 rotas em 5 arquivos blueprint. Essa inversão na ordem dos decoradores ignora as verificações de autenticação, permitindo acesso não autenticado a rotas sensíveis, incluindo criação, listagem, download e remoção de backups. A exploração bem-sucedida pode levar à exfiltração completa de dados, incluindo URLs monitoradas, URLs de webhook de notificação (que podem conter tokens de API) e dados de configuração. Os invasores também podem enviar backups maliciosos para injetar configurações, realizar Server-Side Request Forgery (SSRF) e potencialmente sequestrar sessões de navegador. Os endpoints da API afetados incluem '/backups/request-backup', '/backups/', '/backups/download/' e '/backups/remove-backups'. O parâmetro vulnerável é o nome do arquivo no endpoint '/backups/download/'.

Recomendações: Atualize para a versão 0.54.8 ou posterior. Certifique-se de que o decorador @blueprint.route() seja o decorador mais externo para todas as rotas afetadas. Por exemplo: @blueprint.route('/backups/download/') @login optionally required def download backup(filename):