changedetection.io is a free open source web page change detection tool. In 0.54.9 and earlier, xpath_filter() switches to XML mode for XML/RSS content and creates etree.XMLParser(strip_cdata=False) without explicitly disabling external entity resolution, external DTD loading, or network-backed entity lookup. The helper then parses untrusted XML bytes directly with etree.fromstring(...).
CVE-2026-41895 is an XML External Entity (XXE) injection vulnerability in changedetection.io versions 0.54.9 and earlier that allows attackers to exploit unsafe XML parsing in the xpath_filter() function. The vulnerability enables remote code execution, data exfiltration, and denial of service attacks through malicious XML/RSS content.
تحتوي ثغرة CVE-2026-41895 على عيب في معالجة XML في changedetection.io حيث يتم إنشاء محلل XML بدون تعطيل صريح لدقة الكيانات الخارجية وتحميل DTD. يسمح هذا العيب للمهاجمين بحقن كيانات XML خارجية ضارة من خلال محتوى RSS/XML غير موثوق.
This XXE vulnerability in changedetection.io affects organizations using the tool for monitoring web content and RSS feeds, potentially allowing attackers to access sensitive data or disrupt monitoring services. Saudi organizations relying on this tool for security monitoring or content tracking face significant risk from untrusted XML sources.
Upgrade changedetection.io to version 0.55.0 or later immediately. Disable XML parsing for untrusted sources, implement input validation for XML/RSS feeds, configure XML parsers to disable external entity resolution and DTD loading, and restrict network access to RSS feed sources. Monitor logs for suspicious XML parsing attempts.
قم بترقية changedetection.io إلى الإصدار 0.55.0 أو أحدث فوراً. عطّل معالجة XML للمصادر غير الموثوقة، وطبّق التحقق من صحة المدخلات لمصادر XML/RSS، وقم بتكوين محللات XML لتعطيل دقة الكيانات الخارجية وتحميل DTD، وقيّد الوصول إلى شبكة مصادر RSS. راقب السجلات للكشف عن محاولات معالجة XML المريبة.