CVE-2026-35490 — 神龙十问 AI 深度分析摘要

🚨 **本质**：装饰器顺序错误导致鉴权失效。 💥 **后果**：受保护路由的**身份验证被静默禁用**，无需登录即可访问。

🔍 **CWE-863**：不正确的授权。 🐛 **缺陷点**：`@login_optionally_required` 放在了 `@blueprint.route()` **外部**，而非内部。

📦 **组件**：changedetection.io。 👤 **厂商**：dgtlmoon。 📉 **版本**：**0.54.8 之前**的所有版本。

🕵️ **黑客能力**：绕过登录检查。 📊 **数据风险**：CVSS 评分极高 (H/H/H)，可完全**窃取、篡改或删除**监控数据。

📶 **利用门槛**：**极低**。 🔓 **条件**：无需认证 (PR:N)，网络可达即可 (AV:N)，无需用户交互 (UI:N)。

🧪 **Exp 状态**：数据中 **PoCs 为空**。 🌍 **在野利用**：暂无明确在野利用报告，但利用逻辑简单，风险高。

🔎 **自查方法**：检查代码中 `@blueprint.route` 装饰器层级。 📝 **特征**：确认 `@login_optionally_required` 是否被错误地包裹在路由定义之外。

🛡️ **修复状态**：官方已发布安全公告 (GHSA-jmrh-xmgh-x9j4)。 ✅ **方案**：升级至 **0.54.8 或更高版本**。

⚠️ **临时规避**：若无补丁，需**手动修正代码**，确保登录装饰器位于路由装饰器**之后**（内部）。

🔥 **优先级**：**紧急**。 🚀 **建议**：CVSS 满分风险，立即升级或应用代码修复，防止数据泄露。