Vulnerabilidad en changedetection.io de dgtlmoon (CVE-2026-27696)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-918 Falsificación de solicitud en servidor (SSRF)

Fecha de publicación:

25/02/2026

Última modificación:

26/02/2026

Descripción

changedetection.io es una herramienta gratuita de código abierto para la detección de cambios en páginas web. En versiones anteriores a la 0.54.1, changedetection.io es vulnerable a la Falsificación de Petición del Lado del Servidor (SSRF) porque la función de validación de URL &#39;is_safe_valid_url()&#39; no valida la dirección IP resuelta de las URL de vigilancia frente a rangos de direcciones privadas, de bucle invertido o de enlace local. Un usuario autenticado (o cualquier usuario cuando no hay contraseña configurada, que es el valor predeterminado) puede añadir una vigilancia para URL de red internas. La aplicación obtiene estas URL del lado del servidor, almacena el contenido de la respuesta y lo hace visible a través de la interfaz de usuario web — lo que permite la exfiltración completa de datos de servicios internos. La versión 0.54.1 contiene una solución para el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.60 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno