关键信息 漏洞类型: Server-Side Request Forgery (SSRF) via Watch URLs 严重性: High (8.6/10) CVE ID: CVE-2026-27696 影响的版本: <= 0.53.1 修复版本: 0.54.1 包: changetection.io (pip) 漏洞描述 摘要 changelogdetection.io由于URL验证函数 未能验证观察URL的解析IP地址是否包含在私有地址、回环地址或链接本地地址范围之内,因此对Server-Side Request Forgery (SSRF) 漏洞开放。认证用户(或当未配置密码时的任何用户,这是默认设置)可以添加内部网络URL的观察。 细节 URL验证函数未进行DNS解析或IP地址验证,存在以下漏洞: 服务器端获取URL,存储并可通过Web UI查看,导致数据外泄。 观察URL会定期获取,形成持续的SSRF问题,持续访问内部资源。 默认没有任何密码设置,Web UI无需认证即可访问。 自托管部署通常运行在云基础设施上,攻击者可以通过访问 获取真实IAM凭证。 漏洞利用 在所有接受观察URL的入口点存在验证漏洞: Web UI: REST API: Import API: 所有这些都是通过同一个 函数实现的,因此只需要修复该函数即可解决所有路径的问题。 影响 所有自托管的changelogdetection.io 部署,尤其是运行在云基础设施(AWS、GCP、Azure)上的部署受影响,但是如通过标准网络防火墙保护起良好,则可能不存在其他攻击向量。 建议措施 修复此漏洞,需要在 函数中增加IP地址的验证操作,屏蔽内网访问请求。同时允许用户通过环境变量(如: )来有选择地监控内网服务。