Vulnerability Details CVE-2026-27696
changedetection.io is a free open source web page change detection tool. In versions prior to 0.54.1, changedetection.io is vulnerable to Server-Side Request Forgery (SSRF) because the URL validation function `is_safe_valid_url()` does not validate the resolved IP address of watch URLs against private, loopback, or link-local address ranges. An authenticated user (or any user when no password is configured, which is the default) can add a watch for internal network URLs. The application fetches these URLs server-side, stores the response content, and makes it viewable through the web UI — enabling full data exfiltration from internal services. Version 0.54.1 contains a fix for the issue.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 13.2%
CVSS Severity
CVSS v3 Score 8.6
References
Products affected by CVE-2026-27696
-
cpe:2.3:a:webtechnologies:changedetection:-
-
cpe:2.3:a:webtechnologies:changedetection:0.1
-
cpe:2.3:a:webtechnologies:changedetection:0.11
-
cpe:2.3:a:webtechnologies:changedetection:0.12
-
cpe:2.3:a:webtechnologies:changedetection:0.2
-
cpe:2.3:a:webtechnologies:changedetection:0.21
-
cpe:2.3:a:webtechnologies:changedetection:0.22
-
cpe:2.3:a:webtechnologies:changedetection:0.23
-
cpe:2.3:a:webtechnologies:changedetection:0.24
-
cpe:2.3:a:webtechnologies:changedetection:0.25
-
cpe:2.3:a:webtechnologies:changedetection:0.26
-
cpe:2.3:a:webtechnologies:changedetection:0.27
-
cpe:2.3:a:webtechnologies:changedetection:0.28
-
cpe:2.3:a:webtechnologies:changedetection:0.29
-
cpe:2.3:a:webtechnologies:changedetection:0.30
-
cpe:2.3:a:webtechnologies:changedetection:0.31
-
cpe:2.3:a:webtechnologies:changedetection:0.32
-
cpe:2.3:a:webtechnologies:changedetection:0.33
-
cpe:2.3:a:webtechnologies:changedetection:0.34
-
cpe:2.3:a:webtechnologies:changedetection:0.35
-
cpe:2.3:a:webtechnologies:changedetection:0.36
-
cpe:2.3:a:webtechnologies:changedetection:0.37
-
cpe:2.3:a:webtechnologies:changedetection:0.38
-
cpe:2.3:a:webtechnologies:changedetection:0.38.1
-
cpe:2.3:a:webtechnologies:changedetection:0.38.2
-
cpe:2.3:a:webtechnologies:changedetection:0.39
-
cpe:2.3:a:webtechnologies:changedetection:0.39.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.10
-
cpe:2.3:a:webtechnologies:changedetection:0.39.11
-
cpe:2.3:a:webtechnologies:changedetection:0.39.12
-
cpe:2.3:a:webtechnologies:changedetection:0.39.13
-
cpe:2.3:a:webtechnologies:changedetection:0.39.13.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.14
-
cpe:2.3:a:webtechnologies:changedetection:0.39.14.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.15
-
cpe:2.3:a:webtechnologies:changedetection:0.39.16
-
cpe:2.3:a:webtechnologies:changedetection:0.39.17
-
cpe:2.3:a:webtechnologies:changedetection:0.39.17.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.17.2
-
cpe:2.3:a:webtechnologies:changedetection:0.39.18
-
cpe:2.3:a:webtechnologies:changedetection:0.39.19
-
cpe:2.3:a:webtechnologies:changedetection:0.39.19.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.2
-
cpe:2.3:a:webtechnologies:changedetection:0.39.20
-
cpe:2.3:a:webtechnologies:changedetection:0.39.20.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.20.2
-
cpe:2.3:a:webtechnologies:changedetection:0.39.20.3
-
cpe:2.3:a:webtechnologies:changedetection:0.39.20.4
-
cpe:2.3:a:webtechnologies:changedetection:0.39.21
-
cpe:2.3:a:webtechnologies:changedetection:0.39.21.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.22
-
cpe:2.3:a:webtechnologies:changedetection:0.39.22.1
-
cpe:2.3:a:webtechnologies:changedetection:0.39.3
-
cpe:2.3:a:webtechnologies:changedetection:0.39.4
-
cpe:2.3:a:webtechnologies:changedetection:0.39.5
-
cpe:2.3:a:webtechnologies:changedetection:0.39.6
-
cpe:2.3:a:webtechnologies:changedetection:0.39.7
-
cpe:2.3:a:webtechnologies:changedetection:0.39.8
-
cpe:2.3:a:webtechnologies:changedetection:0.39.9
-
cpe:2.3:a:webtechnologies:changedetection:0.40.0
-
cpe:2.3:a:webtechnologies:changedetection:0.40.0.2
-
cpe:2.3:a:webtechnologies:changedetection:0.40.0.3
-
cpe:2.3:a:webtechnologies:changedetection:0.40.0.4
-
cpe:2.3:a:webtechnologies:changedetection:0.40.1.0
-
cpe:2.3:a:webtechnologies:changedetection:0.40.1.1
-
cpe:2.3:a:webtechnologies:changedetection:0.40.2
-
cpe:2.3:a:webtechnologies:changedetection:0.40.3
-
cpe:2.3:a:webtechnologies:changedetection:0.41
-
cpe:2.3:a:webtechnologies:changedetection:0.41.1
-
cpe:2.3:a:webtechnologies:changedetection:0.42
-
cpe:2.3:a:webtechnologies:changedetection:0.42.1
-
cpe:2.3:a:webtechnologies:changedetection:0.42.2
-
cpe:2.3:a:webtechnologies:changedetection:0.42.3
-
cpe:2.3:a:webtechnologies:changedetection:0.43
-
cpe:2.3:a:webtechnologies:changedetection:0.43.1
-
cpe:2.3:a:webtechnologies:changedetection:0.43.2
-
cpe:2.3:a:webtechnologies:changedetection:0.44
-
cpe:2.3:a:webtechnologies:changedetection:0.44.1
-
cpe:2.3:a:webtechnologies:changedetection:0.44.2
-
cpe:2.3:a:webtechnologies:changedetection:0.45
-
cpe:2.3:a:webtechnologies:changedetection:0.45.1
-
cpe:2.3:a:webtechnologies:changedetection:0.45.10
-
cpe:2.3:a:webtechnologies:changedetection:0.45.11
-
cpe:2.3:a:webtechnologies:changedetection:0.45.12
-
cpe:2.3:a:webtechnologies:changedetection:0.45.13
-
cpe:2.3:a:webtechnologies:changedetection:0.45.14
-
cpe:2.3:a:webtechnologies:changedetection:0.45.15
-
cpe:2.3:a:webtechnologies:changedetection:0.45.16
-
cpe:2.3:a:webtechnologies:changedetection:0.45.17
-
cpe:2.3:a:webtechnologies:changedetection:0.45.18
-
cpe:2.3:a:webtechnologies:changedetection:0.45.19
-
cpe:2.3:a:webtechnologies:changedetection:0.45.2
-
cpe:2.3:a:webtechnologies:changedetection:0.45.20
-
cpe:2.3:a:webtechnologies:changedetection:0.45.21
-
cpe:2.3:a:webtechnologies:changedetection:0.45.22
-
cpe:2.3:a:webtechnologies:changedetection:0.45.23
-
cpe:2.3:a:webtechnologies:changedetection:0.45.24
-
cpe:2.3:a:webtechnologies:changedetection:0.45.25
-
cpe:2.3:a:webtechnologies:changedetection:0.45.26
-
cpe:2.3:a:webtechnologies:changedetection:0.45.3
-
cpe:2.3:a:webtechnologies:changedetection:0.45.4
-
cpe:2.3:a:webtechnologies:changedetection:0.45.5
-
cpe:2.3:a:webtechnologies:changedetection:0.45.6
-
cpe:2.3:a:webtechnologies:changedetection:0.45.7
-
cpe:2.3:a:webtechnologies:changedetection:0.45.7.1
-
cpe:2.3:a:webtechnologies:changedetection:0.45.7.2
-
cpe:2.3:a:webtechnologies:changedetection:0.45.7.3
-
cpe:2.3:a:webtechnologies:changedetection:0.45.8
-
cpe:2.3:a:webtechnologies:changedetection:0.45.8.1
-
cpe:2.3:a:webtechnologies:changedetection:0.45.9
-
cpe:2.3:a:webtechnologies:changedetection:0.46.00
-
cpe:2.3:a:webtechnologies:changedetection:0.46.01
-
cpe:2.3:a:webtechnologies:changedetection:0.46.02
-
cpe:2.3:a:webtechnologies:changedetection:0.46.03
-
cpe:2.3:a:webtechnologies:changedetection:0.46.04
-
cpe:2.3:a:webtechnologies:changedetection:0.47.00
-
cpe:2.3:a:webtechnologies:changedetection:0.47.01
-
cpe:2.3:a:webtechnologies:changedetection:0.47.02
-
cpe:2.3:a:webtechnologies:changedetection:0.47.03
-
cpe:2.3:a:webtechnologies:changedetection:0.47.04
-
cpe:2.3:a:webtechnologies:changedetection:0.47.05
-
cpe:2.3:a:webtechnologies:changedetection:0.47.06
-
cpe:2.3:a:webtechnologies:changedetection:0.48.00
-
cpe:2.3:a:webtechnologies:changedetection:0.48.01
-
cpe:2.3:a:webtechnologies:changedetection:0.48.02
-
cpe:2.3:a:webtechnologies:changedetection:0.48.03
-
cpe:2.3:a:webtechnologies:changedetection:0.48.04
-
cpe:2.3:a:webtechnologies:changedetection:0.48.05
-
cpe:2.3:a:webtechnologies:changedetection:0.48.06
-
cpe:2.3:a:webtechnologies:changedetection:0.49.0
-
cpe:2.3:a:webtechnologies:changedetection:0.49.1
-
cpe:2.3:a:webtechnologies:changedetection:0.49.10
-
cpe:2.3:a:webtechnologies:changedetection:0.49.11
-
cpe:2.3:a:webtechnologies:changedetection:0.49.12
-
cpe:2.3:a:webtechnologies:changedetection:0.49.13
-
cpe:2.3:a:webtechnologies:changedetection:0.49.14
-
cpe:2.3:a:webtechnologies:changedetection:0.49.15
-
cpe:2.3:a:webtechnologies:changedetection:0.49.16
-
cpe:2.3:a:webtechnologies:changedetection:0.49.17
-
cpe:2.3:a:webtechnologies:changedetection:0.49.18
-
cpe:2.3:a:webtechnologies:changedetection:0.49.2
-
cpe:2.3:a:webtechnologies:changedetection:0.49.3
-
cpe:2.3:a:webtechnologies:changedetection:0.49.4
-
cpe:2.3:a:webtechnologies:changedetection:0.49.5
-
cpe:2.3:a:webtechnologies:changedetection:0.49.6
-
cpe:2.3:a:webtechnologies:changedetection:0.49.7
-
cpe:2.3:a:webtechnologies:changedetection:0.49.8
-
cpe:2.3:a:webtechnologies:changedetection:0.49.9
-
cpe:2.3:a:webtechnologies:changedetection:0.50.01
-
cpe:2.3:a:webtechnologies:changedetection:0.50.1
-
cpe:2.3:a:webtechnologies:changedetection:0.50.10
-
cpe:2.3:a:webtechnologies:changedetection:0.50.11
-
cpe:2.3:a:webtechnologies:changedetection:0.50.12
-
cpe:2.3:a:webtechnologies:changedetection:0.50.13
-
cpe:2.3:a:webtechnologies:changedetection:0.50.14
-
cpe:2.3:a:webtechnologies:changedetection:0.50.15
-
cpe:2.3:a:webtechnologies:changedetection:0.50.16
-
cpe:2.3:a:webtechnologies:changedetection:0.50.17
-
cpe:2.3:a:webtechnologies:changedetection:0.50.18
-
cpe:2.3:a:webtechnologies:changedetection:0.50.19
-
cpe:2.3:a:webtechnologies:changedetection:0.50.2
-
cpe:2.3:a:webtechnologies:changedetection:0.50.20
-
cpe:2.3:a:webtechnologies:changedetection:0.50.21
-
cpe:2.3:a:webtechnologies:changedetection:0.50.22
-
cpe:2.3:a:webtechnologies:changedetection:0.50.23
-
cpe:2.3:a:webtechnologies:changedetection:0.50.24
-
cpe:2.3:a:webtechnologies:changedetection:0.50.25
-
cpe:2.3:a:webtechnologies:changedetection:0.50.26
-
cpe:2.3:a:webtechnologies:changedetection:0.50.27
-
cpe:2.3:a:webtechnologies:changedetection:0.50.28
-
cpe:2.3:a:webtechnologies:changedetection:0.50.29
-
cpe:2.3:a:webtechnologies:changedetection:0.50.3
-
cpe:2.3:a:webtechnologies:changedetection:0.50.30
-
cpe:2.3:a:webtechnologies:changedetection:0.50.31
-
cpe:2.3:a:webtechnologies:changedetection:0.50.32
-
cpe:2.3:a:webtechnologies:changedetection:0.50.33
-
cpe:2.3:a:webtechnologies:changedetection:0.50.34
-
cpe:2.3:a:webtechnologies:changedetection:0.50.35
-
cpe:2.3:a:webtechnologies:changedetection:0.50.37
-
cpe:2.3:a:webtechnologies:changedetection:0.50.38
-
cpe:2.3:a:webtechnologies:changedetection:0.50.39
-
cpe:2.3:a:webtechnologies:changedetection:0.50.4
-
cpe:2.3:a:webtechnologies:changedetection:0.50.40
-
cpe:2.3:a:webtechnologies:changedetection:0.50.41
-
cpe:2.3:a:webtechnologies:changedetection:0.50.42
-
cpe:2.3:a:webtechnologies:changedetection:0.50.43
-
cpe:2.3:a:webtechnologies:changedetection:0.50.5
-
cpe:2.3:a:webtechnologies:changedetection:0.50.6
-
cpe:2.3:a:webtechnologies:changedetection:0.50.7
-
cpe:2.3:a:webtechnologies:changedetection:0.50.8
-
cpe:2.3:a:webtechnologies:changedetection:0.50.9
-
cpe:2.3:a:webtechnologies:changedetection:0.51.00
-
cpe:2.3:a:webtechnologies:changedetection:0.51.01
-
cpe:2.3:a:webtechnologies:changedetection:0.51.1
-
cpe:2.3:a:webtechnologies:changedetection:0.51.2
-
cpe:2.3:a:webtechnologies:changedetection:0.51.3
-
cpe:2.3:a:webtechnologies:changedetection:0.51.4
-
cpe:2.3:a:webtechnologies:changedetection:0.52.1
-
cpe:2.3:a:webtechnologies:changedetection:0.52.2
-
cpe:2.3:a:webtechnologies:changedetection:0.52.3
-
cpe:2.3:a:webtechnologies:changedetection:0.52.4
-
cpe:2.3:a:webtechnologies:changedetection:0.52.5
-
cpe:2.3:a:webtechnologies:changedetection:0.52.6
-
cpe:2.3:a:webtechnologies:changedetection:0.52.7
-
cpe:2.3:a:webtechnologies:changedetection:0.52.8
-
cpe:2.3:a:webtechnologies:changedetection:0.52.9
-
cpe:2.3:a:webtechnologies:changedetection:0.53.1
-
cpe:2.3:a:webtechnologies:changedetection:0.53.2
-
cpe:2.3:a:webtechnologies:changedetection:0.53.3
-
cpe:2.3:a:webtechnologies:changedetection:0.53.4