Plateforme
python
Composant
crawl4ai
Corrigé dans
0.8.0
0.8.1
0.8.0
Une vulnérabilité d'inclusion de fichiers locale a été découverte dans l'API Docker de Crawl4AI. Les points de terminaison /execute_js, /screenshot, /pdf et /html acceptent des URL de type 'file://', ce qui permet à un attaquant de lire des fichiers arbitraires du système de fichiers du serveur. Cette faille affecte les versions de Crawl4AI inférieures ou égales à 0.7.8. Une correction est disponible dans la version 0.8.0.
Un attaquant non authentifié peut exploiter cette vulnérabilité pour lire des fichiers sensibles présents sur le serveur. Cela inclut des fichiers de configuration d'application, des fichiers de mots de passe (/etc/passwd, /etc/shadow), et potentiellement des clés d'API et des informations d'identification stockées dans des variables d'environnement accessibles via /proc/self/environ. L'attaquant peut également découvrir la structure interne de l'application, ce qui facilite l'identification d'autres vulnérabilités potentielles. Cette vulnérabilité présente un risque élevé car elle permet un accès direct aux données sensibles du système.
Cette vulnérabilité est publique depuis le 16 janvier 2026. Il n'y a pas d'indications d'exploitation active à ce jour, mais la simplicité de l'exploitation et la disponibilité d'un proof-of-concept (PoC) rendent cette vulnérabilité potentiellement dangereuse. Le score EPSS est considéré comme moyen en raison de la nécessité d'un accès local au serveur Crawl4AI, mais la facilité d'exploitation une fois l'accès obtenu augmente le risque.
Organizations deploying Crawl4AI in environments where sensitive data is stored on the server filesystem are at significant risk. This includes development environments, testing environments, and production deployments where the API is exposed without proper access controls. Shared hosting environments utilizing Crawl4AI are also particularly vulnerable, as a compromise of one container could potentially expose data from other containers on the same host.
• linux / server:
journalctl -u crawl4ai | grep -i "file://"• generic web:
curl -I 'http://your-crawl4ai-server/execute_js?url=file:///etc/passwd' • generic web:
grep "file://" /var/log/nginx/access.logdisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 20%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Crawl4AI vers la version 0.8.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à configurer un pare-feu d'application web (WAF) ou un proxy inverse pour bloquer les requêtes contenant des URL 'file://'. Il est également possible de restreindre les permissions de l'utilisateur exécutant Crawl4AI afin de limiter l'accès aux fichiers sensibles. Après la mise à jour, vérifiez que la vulnérabilité est corrigée en tentant d'accéder à un fichier sensible via l'API et en vous assurant que l'accès est refusé.
Actualice Crawl4AI a la versión 0.8.0 o posterior. Esta versión corrige la vulnerabilidad de inclusión de archivos locales. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando la instalación existente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-26217 is a Local File Inclusion vulnerability in Crawl4AI versions up to 0.7.8, allowing attackers to read arbitrary files from the server.
Yes, if you are running Crawl4AI version 0.7.8 or earlier, you are affected by this vulnerability.
Upgrade Crawl4AI to version 0.8.0 or later to remediate the vulnerability. Implement WAF rules to block file:// URLs as a temporary workaround.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation warrants immediate attention and mitigation.
Refer to the Crawl4AI project's official channels (GitHub repository, project website) for the latest advisory and security updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.