crawl4ai
Corregido en
0.8.0
0.8.1
0.8.0
La vulnerabilidad CVE-2026-26216 es una falla de ejecución remota de código (RCE) presente en versiones de crawl4ai anteriores a 0.8.0. Esta falla permite a atacantes no autenticados inyectar y ejecutar código Python arbitrario a través del parámetro 'hooks' en el endpoint /crawl, comprometiendo la seguridad del servidor. Se recomienda actualizar a la versión 0.8.0 para solucionar este problema.
Un atacante puede explotar esta vulnerabilidad para obtener control total sobre el servidor donde se ejecuta crawl4ai. Al inyectar código Python malicioso a través del parámetro 'hooks', el atacante puede ejecutar comandos del sistema, leer y escribir archivos, exfiltrar datos sensibles y moverse lateralmente dentro de la red interna. La inclusión de la función import en los built-ins permitidos facilita la importación de módulos arbitrarios y la ejecución de comandos. Esto representa un riesgo significativo para la confidencialidad, integridad y disponibilidad de los sistemas afectados.
CVE-2026-26216 fue publicado el 16 de enero de 2026. Actualmente no se dispone de información sobre explotación activa en la naturaleza, pero la severidad crítica de la vulnerabilidad y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación. La vulnerabilidad no se encuentra en el KEV de CISA al momento de esta redacción.
Organizations deploying Crawl4AI in production environments, particularly those with exposed instances or lacking robust network security controls, are at significant risk. Shared hosting environments where multiple users share the same server are also vulnerable, as an attacker could potentially exploit the vulnerability through another user's account.
• python / server:
import requests
url = 'http://your-crawl4ai-server/crawl'
payload = {'hooks': 'import os; os.system("echo 'test'")'}
response = requests.post(url, data=payload)
if response.status_code == 200:
print('Potential exploit detected. Check server logs.')
else:
print('Exploit attempt failed.')• linux / server:
journalctl -u crawl4ai -f | grep -i 'import os'• generic web:
curl -I http://your-crawl4ai-server/crawl?hooks=import%20osdisclosure
Estado del Exploit
EPSS
0.30% (53% percentil)
CISA SSVC
La mitigación principal para CVE-2026-26216 es actualizar crawl4ai a la versión 0.8.0 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda restringir el acceso al endpoint /crawl a usuarios autorizados y monitorear los registros del servidor en busca de actividad sospechosa. Implementar un firewall de aplicaciones web (WAF) con reglas para filtrar solicitudes con parámetros 'hooks' maliciosos puede proporcionar una capa adicional de protección. Verifique que la actualización se haya completado correctamente revisando la versión instalada de crawl4ai.
Actualice Crawl4AI a la versión 0.8.0 o posterior. Esta versión corrige la vulnerabilidad de ejecución remota de código. Se recomienda revisar las notas de la versión 0.8.0 para obtener más detalles sobre la corrección.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26216 is a critical Remote Code Execution vulnerability in Crawl4AI versions up to 0.7.8, allowing unauthenticated attackers to execute arbitrary code on the server.
You are affected if you are running Crawl4AI version 0.7.8 or earlier. Upgrade to version 0.8.0 or later to mitigate the risk.
Upgrade Crawl4AI to version 0.8.0 or later. As a temporary workaround, restrict access to the /crawl endpoint using a WAF or proxy.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest a high probability of exploitation.
Refer to the Crawl4AI project's official repository or website for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.