Plataforma
python
Componente
crawl4ai
Corregido en
0.8.0
0.8.1
0.8.0
Se ha descubierto una vulnerabilidad de inclusión de archivos locales (LFI) en Crawl4AI, una herramienta de Python para el rastreo web. Esta vulnerabilidad permite a un atacante no autenticado leer archivos arbitrarios del sistema de archivos del servidor. La vulnerabilidad afecta a las versiones de Crawl4AI hasta la 0.7.8 y se ha solucionado en la versión 0.8.0.
Un atacante puede explotar esta vulnerabilidad enviando solicitudes POST a los endpoints /execute_js, /screenshot, /pdf y /html con URLs que comiencen con 'file://'. Esto permite leer archivos sensibles como /etc/passwd, /etc/shadow, archivos de configuración de la aplicación, e incluso acceder a variables de entorno a través de /proc/self/environ. La información obtenida podría incluir credenciales, claves de API y detalles sobre la estructura interna de la aplicación, lo que podría llevar a una escalada de privilegios o a la exposición de datos confidenciales.
Esta vulnerabilidad fue publicada el 16 de enero de 2026. No se ha reportado explotación activa en entornos reales, pero la disponibilidad de un payload de ejemplo facilita su explotación. La vulnerabilidad no se encuentra en el KEV de CISA al momento de la redacción. La severidad de la vulnerabilidad es alta debido a su facilidad de explotación y el potencial impacto en la confidencialidad de los datos.
Organizations deploying Crawl4AI in environments where sensitive data is stored on the server filesystem are at significant risk. This includes development environments, testing environments, and production deployments where the API is exposed without proper access controls. Shared hosting environments utilizing Crawl4AI are also particularly vulnerable, as a compromise of one container could potentially expose data from other containers on the same host.
• linux / server:
journalctl -u crawl4ai | grep -i "file://"• generic web:
curl -I 'http://your-crawl4ai-server/execute_js?url=file:///etc/passwd' • generic web:
grep "file://" /var/log/nginx/access.logdisclosure
Estado del Exploit
EPSS
0.07% (20% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Crawl4AI a la versión 0.8.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a los endpoints vulnerables a usuarios autorizados. Implementar una validación estricta de las URLs proporcionadas por el usuario para prevenir la inclusión de archivos arbitrarios. Monitorear los logs del servidor en busca de patrones sospechosos, como solicitudes a archivos del sistema de archivos con la ruta 'file://'.
Actualice Crawl4AI a la versión 0.8.0 o posterior. Esta versión corrige la vulnerabilidad de inclusión de archivos locales. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando la instalación existente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26217 is a Local File Inclusion vulnerability in Crawl4AI versions up to 0.7.8, allowing attackers to read arbitrary files from the server.
Yes, if you are running Crawl4AI version 0.7.8 or earlier, you are affected by this vulnerability.
Upgrade Crawl4AI to version 0.8.0 or later to remediate the vulnerability. Implement WAF rules to block file:// URLs as a temporary workaround.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation warrants immediate attention and mitigation.
Refer to the Crawl4AI project's official channels (GitHub repository, project website) for the latest advisory and security updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.