ChangeDetection.io versions prior to 0.54.7 contain a protection bypass vulnerability in the SafeXPath3Parser implementation that allows attackers to read arbitrary local files by using unblocked XPath 3.0/3.1 functions such as json-doc() and similar file-access primitives. Attackers can exploit the incomplete blocklist of dangerous XPath functions to access sensitive data from the local filesystem.
ChangeDetection.io versions before 0.54.7 have a protection bypass vulnerability in SafeXPath3Parser that allows attackers to read arbitrary local files using unblocked XPath functions like json-doc(). The incomplete blocklist of dangerous XPath functions enables unauthorized access to sensitive filesystem data.
تحتوي ثغرة CVE-2026-35000 على عيب في تصفية دوال XPath الخطرة في مكتبة SafeXPath3Parser المستخدمة في ChangeDetection.io. يمكن للمهاجمين استغلال قائمة الحظر غير الكاملة للوصول إلى ملفات حساسة على النظام المحلي مثل ملفات التكوين وبيانات المستخدمين.
إصدارات ChangeDetection.io السابقة للإصدار 0.54.7 تحتوي على ثغرة تجاوز الحماية في SafeXPath3Parser تسمح للمهاجمين بقراءة ملفات محلية عشوائية باستخدام دوال XPath غير محجوبة مثل json-doc(). قائمة الحظر غير الكاملة للدوال الخطرة تمكن الوصول غير المصرح به إلى بيانات نظام الملفات.
Upgrade ChangeDetection.io to version 0.54.7 or later immediately. Review and update the XPath function blocklist to include all dangerous functions (json-doc, unparsed-text, collection, etc.). Implement strict input validation and consider disabling XPath 3.0/3.1 features if not required. Apply principle of least privilege to application file access permissions.
قم بترقية ChangeDetection.io إلى الإصدار 0.54.7 أو أحدث فوراً. راجع وحدّث قائمة حظر دوال XPath لتشمل جميع الدوال الخطرة (json-doc, unparsed-text, collection، إلخ). طبّق التحقق الصارم من المدخلات وفكر في تعطيل ميزات XPath 3.0/3.1 إذا لم تكن مطلوبة. طبّق مبدأ الامتيازات الأقل على أذونات وصول الملفات للتطبيق.