Platform
python
Component
crawl4ai
Opgelost in
0.8.0
0.8.1
0.8.0
CVE-2026-26217 beschrijft een local file inclusion (LFI) kwetsbaarheid in Crawl4AI, een Python-gebaseerde tool. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden van de server te lezen, wat kan leiden tot blootstelling van gevoelige informatie. De kwetsbaarheid treedt op in versies van Crawl4AI tot en met 0.7.8. Een update naar versie 0.8.0 lost dit probleem op.
Een succesvolle exploitatie van CVE-2026-26217 kan verstrekkende gevolgen hebben. Een niet-geauthenticeerde aanvaller kan gevoelige bestanden zoals /etc/passwd en /etc/shadow lezen, waardoor toegang tot gebruikersaccounts mogelijk wordt. Daarnaast kan de aanvaller toegang krijgen tot omgevingsvariabelen via /proc/self/environ, waardoor interne applicatiestructuur en potentieel credentials en API keys kunnen worden ontdekt. De impact omvat dus het blootleggen van configuratiebestanden, credentials en andere gevoelige data, wat kan leiden tot verdere compromittering van het systeem.
Op dit moment is er geen informatie beschikbaar over actieve exploits in de wild. Er zijn publieke proof-of-concept (POC) exploits beschikbaar, wat de potentiële impact van deze kwetsbaarheid aantoont. De kwetsbaarheid is gepubliceerd op 2026-01-16 en is opgenomen in de NVD database. De EPSS score is momenteel niet bekend, maar de beschikbaarheid van POC's suggereert een medium tot hoog risico.
Organizations deploying Crawl4AI in environments where sensitive data is stored on the server filesystem are at significant risk. This includes development environments, testing environments, and production deployments where the API is exposed without proper access controls. Shared hosting environments utilizing Crawl4AI are also particularly vulnerable, as a compromise of one container could potentially expose data from other containers on the same host.
• linux / server:
journalctl -u crawl4ai | grep -i "file://"• generic web:
curl -I 'http://your-crawl4ai-server/execute_js?url=file:///etc/passwd' • generic web:
grep "file://" /var/log/nginx/access.logdisclosure
Exploit Status
EPSS
0.07% (20% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-26217 is het upgraden van Crawl4AI naar versie 0.8.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van restricties op de toegestane URL's in de /execute_js, /screenshot, /pdf en /html endpoints. Dit kan worden bereikt door een Web Application Firewall (WAF) of proxy te configureren om file:// URL's te blokkeren. Controleer ook de Crawl4AI configuratie op onnodige permissies of toegang tot gevoelige bestanden. Na de upgrade, verifieer de correcte werking door te proberen een bestand via de kwetsbare endpoints te benaderen; dit zou nu moeten falen.
Actualice Crawl4AI a la versión 0.8.0 o posterior. Esta versión corrige la vulnerabilidad de inclusión de archivos locales. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando la instalación existente.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-26217 is a Local File Inclusion vulnerability in Crawl4AI versions up to 0.7.8, allowing attackers to read arbitrary files from the server.
Yes, if you are running Crawl4AI version 0.7.8 or earlier, you are affected by this vulnerability.
Upgrade Crawl4AI to version 0.8.0 or later to remediate the vulnerability. Implement WAF rules to block file:// URLs as a temporary workaround.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation warrants immediate attention and mitigation.
Refer to the Crawl4AI project's official channels (GitHub repository, project website) for the latest advisory and security updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.