CVE-2026-35490
CriticalSummary
W narzędziu do wykrywania zmian na stronach internetowych changedetection.io, przed wersją 0.54.8, dekorator @login_optionally_required był umieszczony przed dekoratorem @blueprint.route(). W Flask dekorator @route() powinien być zewnętrznym dekoratorem, co w tym przypadku powodowało, że funkcja nie była odpowiednio zabezpieczona.
Risk Assessment
Brak odpowiedniej autoryzacji na trasach może prowadzić do nieautoryzowanego dostępu do chronionych zasobów, co stanowi poważne zagrożenie dla bezpieczeństwa aplikacji.
Recommendation
Zaleca się aktualizację do wersji 0.54.8 lub nowszej, aby przywrócić prawidłową kolejność dekoratorów i zapewnić odpowiednią autoryzację na trasach.
Original NVD description (English source)
changedetection.io is a free open source web page change detection tool. Prior to 0.54.8, the @login_optionally_required decorator is placed before (outer to) @blueprint.route() instead of after it. In Flask, @route() must be the outermost decorator because it registers the function it receives. When the order is reversed, @route() registers the original undecorated function, and the auth wrapper is never in the call chain. This silently disables authentication on these routes. This vulnerability is fixed in 0.54.8.

