关键漏洞信息 漏洞类型: Unauthenticated static path traversal 包名: changedetection.io 受影响的版本: <= 0.52.9 修复版本: None 严重性: Moderate (5.3/10) CVSS v3 基本指标: - 攻击载体: Network - 攻击复杂度: Low - 所需权限: None - 用户交互: None - 范围: Unchanged - 机密性: Low - 完整性: None - 可用性: None CVE ID: CVE-2026-25527 弱点: CWE-22 漏洞描述 总结: - 路由 接受 ,导致 执行。 - 基本目录移动到 ,允许未经身份验证的本地文件读取。 - 例如,可以读取应用程序源文件(如 )。 - 严重性是低信息泄露 (C:L)。 详细信息: - 漏洞代码在 中的 函数。 - 桑itize允许点,因此 通过验证。 - 导致 将基本目录移到 ,允许读取该目录中的文件。 - 路由未认证,因此任何用户无需登录即可检索源文件。 限制: 路径只匹配 并拒绝 中的斜杠,因此不能遍历到任意系统路径,如 。仅限于应用程序包目录内的文件。 漏洞影响 漏洞类型: 目录遍历 / 本地文件读取 受影响用户: 任何有网络访问权限的用户(无需身份验证) 范围: 目录下的源文件 安全影响: 内部逻辑暴露可能进一步利用(机密性:低)