HIGHCVE-2026-26217CVSS 8.6

Crawl4AI には Docker API において file:// URL を介したローカルファイルインクルージョン (Local File Inclusion) の脆弱性があります

プラットフォーム

python

コンポーネント

crawl4ai

修正版

0.8.0

0.8.1

0.8.0

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-26217は、crawl4aiのDocker APIにおけるローカルファイルインクルージョン（LFI）脆弱性です。攻撃者は、特定のAPIエンドポイントに悪意のあるfile://URLを送信することで、サーバー上の任意のファイルを読み取ることができます。この脆弱性は、crawl4aiのバージョン0.7.8以前に存在し、バージョン0.8.0で修正されました。

影響と攻撃シナリオ

この脆弱性を悪用されると、認証されていない攻撃者は、サーバー上の機密ファイル（/etc/passwd、/etc/shadow、アプリケーション設定ファイルなど）を読み取ることが可能です。さらに、/proc/self/environを通じて環境変数にアクセスしたり、内部アプリケーション構造を特定したり、認証情報やAPIキーを読み取ったりする可能性があります。ファイルシステムのアクセス権限によっては、より広範囲な被害が発生する可能性があります。

悪用の状況

このCVEは2026年1月16日に公開されました。現時点では、公開されているPoCは存在しますが、活発な攻撃キャンペーンの報告はありません。CISA KEVカタログへの登録状況は不明です。この脆弱性は、ファイルアクセス権限の設定ミスや不適切な入力検証が原因で発生する可能性があります。

リスク対象者翻訳中…

Organizations deploying Crawl4AI in environments where sensitive data is stored on the server filesystem are at significant risk. This includes development environments, testing environments, and production deployments where the API is exposed without proper access controls. Shared hosting environments utilizing Crawl4AI are also particularly vulnerable, as a compromise of one container could potentially expose data from other containers on the same host.

検出手順翻訳中…

• linux / server:

journalctl -u crawl4ai | grep -i "file://"

• generic web:

curl -I 'http://your-crawl4ai-server/execute_js?url=file:///etc/passwd'

• generic web:

 grep "file://" /var/log/nginx/access.log

攻撃タイムライン

2026-01-16Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (20% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントcrawl4ai

ベンダーosv

影響範囲修正版

0 – 0.8.00.8.0

0.8.00.8.1

—0.8.0

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-02-11
公開日2026-01-16
更新日2026-02-22
EPSS 更新日2026-03-23

公開後0日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、crawl4aiをバージョン0.8.0以降にアップデートすることを推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）やプロキシサーバーを使用して、file://URLに対するリクエストをブロックするルールを実装してください。また、ファイルアクセス権限を適切に設定し、不要なファイルの読み取りを制限することも有効です。アップデート後、ファイルアクセス権限を確認し、脆弱性が解消されていることを確認してください。

修正方法翻訳中…

Actualice Crawl4AI a la versión 0.8.0 o posterior. Esta versión corrige la vulnerabilidad de inclusión de archivos locales. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando la instalación existente.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-26217 — LFI in crawl4aiとは何ですか？

CVE-2026-26217は、crawl4aiのバージョン0.7.8以前に存在するローカルファイルインクルージョン脆弱性です。攻撃者は、特定のAPIエンドポイントに悪意のあるfile://URLを送信することで、サーバー上の任意のファイルを読み取ることができます。

CVE-2026-26217 in crawl4aiの影響はありますか？

はい、crawl4aiのバージョン0.7.8以前を使用している場合は、この脆弱性によって機密情報が漏洩する可能性があります。特に、ファイルアクセス権限が適切に設定されていない環境では、攻撃のリスクが高まります。

CVE-2026-26217 in crawl4aiを修正するにはどうすればよいですか？

crawl4aiをバージョン0.8.0以降にアップデートすることを推奨します。アップデートが困難な場合は、WAFやプロキシサーバーを使用して、file://URLに対するリクエストをブロックするルールを実装してください。

CVE-2026-26217は積極的に悪用されていますか？

現時点では、活発な攻撃キャンペーンの報告はありませんが、公開されているPoCが存在するため、注意が必要です。

CVE-2026-26217に関するcrawl4aiの公式アドバイザリはどこで入手できますか？

crawl4aiの公式アドバイザリは、プロジェクトのウェブサイトまたはGitHubリポジトリで確認できます。