CVE-2026-41895

Nome do Software Vulnerável e Versões Afetadas changedetection.io versões 0.54.9 e anteriores

Descrição O software contém um problema de Entidade Externa XML (XXE) onde a função xpath filter() alterna para o modo XML para conteúdo XML/RSS e cria um etree.XMLParser(strip cdata=False) sem desativar a resolução de entidades externas, o carregamento de DTD externo ou a busca de entidades via rede. O auxiliar então analisa bytes XML não confiáveis diretamente usando etree.fromstring(). Isso pode permitir que um invasor que controle o corpo de uma resposta XML/RSS monitorada utilize um filtro de inclusão XPath para disparar a análise de declarações de entidades externas, levando potencialmente à divulgação de arquivos locais, onde arquivos sensíveis são expostos na saída da monitoração, no histórico de diferenças e nos canais de notificação.

Recomendações Para as versões 0.54.9 e anteriores, reforce a construção do analisador XML definindo resolve entities=False, load dtd=False e no network=True. Como medida de mitigação temporária, evite usar filtros de inclusão XPath em conteúdos XML/RSS não confiáveis.