प्लेटफ़ॉर्म
python
घटक
crawl4ai
में ठीक किया गया
0.8.0
0.8.1
0.8.0
Crawl4AI में एक स्थानीय फ़ाइल समावेशन (LFI) भेद्यता पाई गई है, जो हमलावरों को सर्वर फ़ाइल सिस्टम से मनमाने ढंग से फ़ाइलें पढ़ने की अनुमति देती है। यह भेद्यता /execute_js, /screenshot, /pdf, और /html एंडपॉइंट्स के माध्यम से मौजूद है, जो file:// यूआरएल स्वीकार करते हैं। प्रभावित संस्करण 0.7.8 और उससे पहले के हैं। इस समस्या को ठीक करने के लिए 0.8.0 में अपग्रेड करने की अनुशंसा की जाती है।
यह भेद्यता हमलावरों को संवेदनशील जानकारी तक पहुंचने की अनुमति देती है। वे /etc/passwd, /etc/shadow जैसी महत्वपूर्ण फ़ाइलें पढ़ सकते हैं, एप्लिकेशन कॉन्फ़िगरेशन तक पहुंच प्राप्त कर सकते हैं, और /proc/self/environ के माध्यम से पर्यावरण चर भी देख सकते हैं। इसके अतिरिक्त, हमलावर आंतरिक एप्लिकेशन संरचना की खोज कर सकते हैं और संभावित रूप से क्रेडेंशियल्स और एपीआई कुंजियों को उजागर कर सकते हैं। इस भेद्यता का शोषण करने से डेटा उल्लंघन, अनधिकृत पहुंच और सिस्टम समझौता हो सकता है।
यह भेद्यता सार्वजनिक रूप से 2026-01-16 को उजागर की गई थी। एक सार्वजनिक प्रूफ-ऑफ़-कॉन्सेप्ट (POC) उपलब्ध है, जो भेद्यता के शोषण को प्रदर्शित करता है। CISA KEV सूची में इस भेद्यता को शामिल करने की संभावना है, जो इसके उच्च जोखिम को दर्शाता है। हमलावरों द्वारा सक्रिय शोषण की संभावना है, खासकर उन प्रणालियों पर जो नवीनतम सुरक्षा पैच के साथ अपडेट नहीं हैं।
Organizations deploying Crawl4AI in environments where sensitive data is stored on the server filesystem are at significant risk. This includes development environments, testing environments, and production deployments where the API is exposed without proper access controls. Shared hosting environments utilizing Crawl4AI are also particularly vulnerable, as a compromise of one container could potentially expose data from other containers on the same host.
• linux / server:
journalctl -u crawl4ai | grep -i "file://"• generic web:
curl -I 'http://your-crawl4ai-server/execute_js?url=file:///etc/passwd' • generic web:
grep "file://" /var/log/nginx/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (20% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, Crawl4AI को तुरंत संस्करण 0.8.0 में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके file:// यूआरएल को ब्लॉक करें। इसके अतिरिक्त, इन एंडपॉइंट्स के लिए इनपुट सत्यापन लागू करें ताकि यह सुनिश्चित किया जा सके कि केवल अपेक्षित फ़ाइल प्रकारों को संसाधित किया जाए। नियमित रूप से लॉग की निगरानी करें और किसी भी असामान्य गतिविधि के लिए अलर्ट सेट करें।
Actualice Crawl4AI a la versión 0.8.0 o posterior. Esta versión corrige la vulnerabilidad de inclusión de archivos locales. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando la instalación existente.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-26217 Crawl4AI में एक स्थानीय फ़ाइल समावेशन भेद्यता है जो हमलावरों को सर्वर फ़ाइल सिस्टम से मनमाने ढंग से फ़ाइलें पढ़ने की अनुमति देती है।
यदि आप Crawl4AI के संस्करण 0.7.8 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-26217 को ठीक करने के लिए Crawl4AI को संस्करण 0.8.0 में अपग्रेड करें।
CVE-2026-26217 के सक्रिय शोषण की संभावना है, क्योंकि एक सार्वजनिक प्रूफ-ऑफ़-कॉन्सेप्ट उपलब्ध है।
आधिकारिक Crawl4AI सलाहकार के लिए, कृपया Crawl4AI की वेबसाइट या सुरक्षा घोषणाओं की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।