Vulnerability Details CVE-2026-43891
changedetection.io is a free open source web page change detection tool. Prior to 0.55.1, the vulnerability is caused by trusting attacker-controlled snapshot paths restored from backup files. The vulnerable flow starts in the backup restore logic. When a backup ZIP is restored, the application extracts the archive and copies each restored watch UUID directory directly into the live datastore using shutil.copytree(entry.path, dst_dir). This preserves attacker-controlled files inside the restored watch directory, including history.txt. After restore, the application parses history.txt in the watch history property and returns the contents of the targeted local file. This vulnerability is fixed in 0.55.1.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 11.4%
CVSS Severity
CVSS v3 Score 7.5
References
Products affected by CVE-2026-43891
-
cpe:2.3:a:webtechnologies:changedetection:-
-
cpe:2.3:a:webtechnologies:changedetection:0.1
-
cpe:2.3:a:webtechnologies:changedetection:0.11
-
cpe:2.3:a:webtechnologies:changedetection:0.12
-
cpe:2.3:a:webtechnologies:changedetection:0.2
-
cpe:2.3:a:webtechnologies:changedetection:0.21
-
cpe:2.3:a:webtechnologies:changedetection:0.22
-
cpe:2.3:a:webtechnologies:changedetection:0.23
-
cpe:2.3:a:webtechnologies:changedetection:0.24
-
cpe:2.3:a:webtechnologies:changedetection:0.25
-
cpe:2.3:a:webtechnologies:changedetection:0.26
-
cpe:2.3:a:webtechnologies:changedetection:0.27
-
cpe:2.3:a:webtechnologies:changedetection:0.28
-
cpe:2.3:a:webtechnologies:changedetection:0.29
-
cpe:2.3:a:webtechnologies:changedetection:0.30
-
cpe:2.3:a:webtechnologies:changedetection:0.31
-
cpe:2.3:a:webtechnologies:changedetection:0.32
-
cpe:2.3:a:webtechnologies:changedetection:0.33
-
cpe:2.3:a:webtechnologies:changedetection:0.34
-
cpe:2.3:a:webtechnologies:changedetection:0.35
-
cpe:2.3:a:webtechnologies:changedetection:0.36
-
cpe:2.3:a:webtechnologies:changedetection:0.37
-
cpe:2.3:a:webtechnologies:changedetection:0.38
-
cpe:2.3:a:webtechnologies:changedetection:0.38.1
-
cpe:2.3:a:webtechnologies:changedetection:0.38.2
-
cpe:2.3:a:webtechnologies:changedetection:0.39
-
cpe:2.3:a:webtechnologies:changedetection:0.39.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.10
-
cpe:2.3:a:webtechnologies:changedetection:0.39.11
-
cpe:2.3:a:webtechnologies:changedetection:0.39.12
-
cpe:2.3:a:webtechnologies:changedetection:0.39.13
-
cpe:2.3:a:webtechnologies:changedetection:0.39.13.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.14
-
cpe:2.3:a:webtechnologies:changedetection:0.39.14.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.15
-
cpe:2.3:a:webtechnologies:changedetection:0.39.16
-
cpe:2.3:a:webtechnologies:changedetection:0.39.17
-
cpe:2.3:a:webtechnologies:changedetection:0.39.17.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.17.2
-
cpe:2.3:a:webtechnologies:changedetection:0.39.18
-
cpe:2.3:a:webtechnologies:changedetection:0.39.19
-
cpe:2.3:a:webtechnologies:changedetection:0.39.19.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.2
-
cpe:2.3:a:webtechnologies:changedetection:0.39.20
-
cpe:2.3:a:webtechnologies:changedetection:0.39.20.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.20.2
-
cpe:2.3:a:webtechnologies:changedetection:0.39.20.3
-
cpe:2.3:a:webtechnologies:changedetection:0.39.20.4
-
cpe:2.3:a:webtechnologies:changedetection:0.39.21
-
cpe:2.3:a:webtechnologies:changedetection:0.39.21.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.22
-
cpe:2.3:a:webtechnologies:changedetection:0.39.22.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.3
-
cpe:2.3:a:webtechnologies:changedetection:0.39.4
-
cpe:2.3:a:webtechnologies:changedetection:0.39.5
-
cpe:2.3:a:webtechnologies:changedetection:0.39.6
-
cpe:2.3:a:webtechnologies:changedetection:0.39.7
-
cpe:2.3:a:webtechnologies:changedetection:0.39.8
-
cpe:2.3:a:webtechnologies:changedetection:0.39.9
-
cpe:2.3:a:webtechnologies:changedetection:0.40.0
-
cpe:2.3:a:webtechnologies:changedetection:0.40.0.2
-
cpe:2.3:a:webtechnologies:changedetection:0.40.0.3
-
cpe:2.3:a:webtechnologies:changedetection:0.40.0.4
-
cpe:2.3:a:webtechnologies:changedetection:0.40.1.0
-
cpe:2.3:a:webtechnologies:changedetection:0.40.1.1
-
cpe:2.3:a:webtechnologies:changedetection:0.40.2
-
cpe:2.3:a:webtechnologies:changedetection:0.40.3
-
cpe:2.3:a:webtechnologies:changedetection:0.41
-
cpe:2.3:a:webtechnologies:changedetection:0.41.1
-
cpe:2.3:a:webtechnologies:changedetection:0.42
-
cpe:2.3:a:webtechnologies:changedetection:0.42.1
-
cpe:2.3:a:webtechnologies:changedetection:0.42.2
-
cpe:2.3:a:webtechnologies:changedetection:0.42.3
-
cpe:2.3:a:webtechnologies:changedetection:0.43
-
cpe:2.3:a:webtechnologies:changedetection:0.43.1
-
cpe:2.3:a:webtechnologies:changedetection:0.43.2
-
cpe:2.3:a:webtechnologies:changedetection:0.44
-
cpe:2.3:a:webtechnologies:changedetection:0.44.1
-
cpe:2.3:a:webtechnologies:changedetection:0.44.2
-
cpe:2.3:a:webtechnologies:changedetection:0.45
-
cpe:2.3:a:webtechnologies:changedetection:0.45.1
-
cpe:2.3:a:webtechnologies:changedetection:0.45.10
-
cpe:2.3:a:webtechnologies:changedetection:0.45.11
-
cpe:2.3:a:webtechnologies:changedetection:0.45.12
-
cpe:2.3:a:webtechnologies:changedetection:0.45.13
-
cpe:2.3:a:webtechnologies:changedetection:0.45.14
-
cpe:2.3:a:webtechnologies:changedetection:0.45.15
-
cpe:2.3:a:webtechnologies:changedetection:0.45.16
-
cpe:2.3:a:webtechnologies:changedetection:0.45.17
-
cpe:2.3:a:webtechnologies:changedetection:0.45.18
-
cpe:2.3:a:webtechnologies:changedetection:0.45.19
-
cpe:2.3:a:webtechnologies:changedetection:0.45.2
-
cpe:2.3:a:webtechnologies:changedetection:0.45.20
-
cpe:2.3:a:webtechnologies:changedetection:0.45.21
-
cpe:2.3:a:webtechnologies:changedetection:0.45.22
-
cpe:2.3:a:webtechnologies:changedetection:0.45.23
-
cpe:2.3:a:webtechnologies:changedetection:0.45.24
-
cpe:2.3:a:webtechnologies:changedetection:0.45.25
-
cpe:2.3:a:webtechnologies:changedetection:0.45.26
-
cpe:2.3:a:webtechnologies:changedetection:0.45.3
-
cpe:2.3:a:webtechnologies:changedetection:0.45.4
-
cpe:2.3:a:webtechnologies:changedetection:0.45.5
-
cpe:2.3:a:webtechnologies:changedetection:0.45.6
-
cpe:2.3:a:webtechnologies:changedetection:0.45.7
-
cpe:2.3:a:webtechnologies:changedetection:0.45.7.1
-
cpe:2.3:a:webtechnologies:changedetection:0.45.7.2
-
cpe:2.3:a:webtechnologies:changedetection:0.45.7.3
-
cpe:2.3:a:webtechnologies:changedetection:0.45.8
-
cpe:2.3:a:webtechnologies:changedetection:0.45.8.1
-
cpe:2.3:a:webtechnologies:changedetection:0.45.9
-
cpe:2.3:a:webtechnologies:changedetection:0.46.00
-
cpe:2.3:a:webtechnologies:changedetection:0.46.01
-
cpe:2.3:a:webtechnologies:changedetection:0.46.02
-
cpe:2.3:a:webtechnologies:changedetection:0.46.03
-
cpe:2.3:a:webtechnologies:changedetection:0.46.04
-
cpe:2.3:a:webtechnologies:changedetection:0.47.00
-
cpe:2.3:a:webtechnologies:changedetection:0.47.01
-
cpe:2.3:a:webtechnologies:changedetection:0.47.02
-
cpe:2.3:a:webtechnologies:changedetection:0.47.03
-
cpe:2.3:a:webtechnologies:changedetection:0.47.04
-
cpe:2.3:a:webtechnologies:changedetection:0.47.05
-
cpe:2.3:a:webtechnologies:changedetection:0.47.06
-
cpe:2.3:a:webtechnologies:changedetection:0.48.00
-
cpe:2.3:a:webtechnologies:changedetection:0.48.01
-
cpe:2.3:a:webtechnologies:changedetection:0.48.02
-
cpe:2.3:a:webtechnologies:changedetection:0.48.03
-
cpe:2.3:a:webtechnologies:changedetection:0.48.04
-
cpe:2.3:a:webtechnologies:changedetection:0.48.05
-
cpe:2.3:a:webtechnologies:changedetection:0.48.06
-
cpe:2.3:a:webtechnologies:changedetection:0.49.0
-
cpe:2.3:a:webtechnologies:changedetection:0.49.1
-
cpe:2.3:a:webtechnologies:changedetection:0.49.10
-
cpe:2.3:a:webtechnologies:changedetection:0.49.11
-
cpe:2.3:a:webtechnologies:changedetection:0.49.12
-
cpe:2.3:a:webtechnologies:changedetection:0.49.13
-
cpe:2.3:a:webtechnologies:changedetection:0.49.14
-
cpe:2.3:a:webtechnologies:changedetection:0.49.15
-
cpe:2.3:a:webtechnologies:changedetection:0.49.16
-
cpe:2.3:a:webtechnologies:changedetection:0.49.17
-
cpe:2.3:a:webtechnologies:changedetection:0.49.18
-
cpe:2.3:a:webtechnologies:changedetection:0.49.2
-
cpe:2.3:a:webtechnologies:changedetection:0.49.3
-
cpe:2.3:a:webtechnologies:changedetection:0.49.4
-
cpe:2.3:a:webtechnologies:changedetection:0.49.5
-
cpe:2.3:a:webtechnologies:changedetection:0.49.6
-
cpe:2.3:a:webtechnologies:changedetection:0.49.7
-
cpe:2.3:a:webtechnologies:changedetection:0.49.8
-
cpe:2.3:a:webtechnologies:changedetection:0.49.9
-
cpe:2.3:a:webtechnologies:changedetection:0.50.01
-
cpe:2.3:a:webtechnologies:changedetection:0.50.1
-
cpe:2.3:a:webtechnologies:changedetection:0.50.10
-
cpe:2.3:a:webtechnologies:changedetection:0.50.11
-
cpe:2.3:a:webtechnologies:changedetection:0.50.12
-
cpe:2.3:a:webtechnologies:changedetection:0.50.13
-
cpe:2.3:a:webtechnologies:changedetection:0.50.14
-
cpe:2.3:a:webtechnologies:changedetection:0.50.15
-
cpe:2.3:a:webtechnologies:changedetection:0.50.16
-
cpe:2.3:a:webtechnologies:changedetection:0.50.17
-
cpe:2.3:a:webtechnologies:changedetection:0.50.18
-
cpe:2.3:a:webtechnologies:changedetection:0.50.19
-
cpe:2.3:a:webtechnologies:changedetection:0.50.2
-
cpe:2.3:a:webtechnologies:changedetection:0.50.20
-
cpe:2.3:a:webtechnologies:changedetection:0.50.21
-
cpe:2.3:a:webtechnologies:changedetection:0.50.22
-
cpe:2.3:a:webtechnologies:changedetection:0.50.23
-
cpe:2.3:a:webtechnologies:changedetection:0.50.24
-
cpe:2.3:a:webtechnologies:changedetection:0.50.25
-
cpe:2.3:a:webtechnologies:changedetection:0.50.26
-
cpe:2.3:a:webtechnologies:changedetection:0.50.27
-
cpe:2.3:a:webtechnologies:changedetection:0.50.28
-
cpe:2.3:a:webtechnologies:changedetection:0.50.29
-
cpe:2.3:a:webtechnologies:changedetection:0.50.3
-
cpe:2.3:a:webtechnologies:changedetection:0.50.30
-
cpe:2.3:a:webtechnologies:changedetection:0.50.31
-
cpe:2.3:a:webtechnologies:changedetection:0.50.32
-
cpe:2.3:a:webtechnologies:changedetection:0.50.33
-
cpe:2.3:a:webtechnologies:changedetection:0.50.34
-
cpe:2.3:a:webtechnologies:changedetection:0.50.35
-
cpe:2.3:a:webtechnologies:changedetection:0.50.37
-
cpe:2.3:a:webtechnologies:changedetection:0.50.38
-
cpe:2.3:a:webtechnologies:changedetection:0.50.39
-
cpe:2.3:a:webtechnologies:changedetection:0.50.4
-
cpe:2.3:a:webtechnologies:changedetection:0.50.40
-
cpe:2.3:a:webtechnologies:changedetection:0.50.41
-
cpe:2.3:a:webtechnologies:changedetection:0.50.42
-
cpe:2.3:a:webtechnologies:changedetection:0.50.43
-
cpe:2.3:a:webtechnologies:changedetection:0.50.5
-
cpe:2.3:a:webtechnologies:changedetection:0.50.6
-
cpe:2.3:a:webtechnologies:changedetection:0.50.7
-
cpe:2.3:a:webtechnologies:changedetection:0.50.8
-
cpe:2.3:a:webtechnologies:changedetection:0.50.9
-
cpe:2.3:a:webtechnologies:changedetection:0.51.00
-
cpe:2.3:a:webtechnologies:changedetection:0.51.01
-
cpe:2.3:a:webtechnologies:changedetection:0.51.1
-
cpe:2.3:a:webtechnologies:changedetection:0.51.2
-
cpe:2.3:a:webtechnologies:changedetection:0.51.3
-
cpe:2.3:a:webtechnologies:changedetection:0.51.4
-
cpe:2.3:a:webtechnologies:changedetection:0.52.1
-
cpe:2.3:a:webtechnologies:changedetection:0.52.2
-
cpe:2.3:a:webtechnologies:changedetection:0.52.3
-
cpe:2.3:a:webtechnologies:changedetection:0.52.4
-
cpe:2.3:a:webtechnologies:changedetection:0.52.5
-
cpe:2.3:a:webtechnologies:changedetection:0.52.6
-
cpe:2.3:a:webtechnologies:changedetection:0.52.7
-
cpe:2.3:a:webtechnologies:changedetection:0.52.8
-
cpe:2.3:a:webtechnologies:changedetection:0.52.9
-
cpe:2.3:a:webtechnologies:changedetection:0.53.1
-
cpe:2.3:a:webtechnologies:changedetection:0.53.2
-
cpe:2.3:a:webtechnologies:changedetection:0.53.3
-
cpe:2.3:a:webtechnologies:changedetection:0.53.4
-
cpe:2.3:a:webtechnologies:changedetection:0.53.5
-
cpe:2.3:a:webtechnologies:changedetection:0.53.6
-
cpe:2.3:a:webtechnologies:changedetection:0.53.7
-
cpe:2.3:a:webtechnologies:changedetection:0.54.1
-
cpe:2.3:a:webtechnologies:changedetection:0.54.10
-
cpe:2.3:a:webtechnologies:changedetection:0.54.2
-
cpe:2.3:a:webtechnologies:changedetection:0.54.3
-
cpe:2.3:a:webtechnologies:changedetection:0.54.4
-
cpe:2.3:a:webtechnologies:changedetection:0.54.5
-
cpe:2.3:a:webtechnologies:changedetection:0.54.6
-
cpe:2.3:a:webtechnologies:changedetection:0.54.7
-
cpe:2.3:a:webtechnologies:changedetection:0.54.8
-
cpe:2.3:a:webtechnologies:changedetection:0.54.9