Plataforma
python
Componente
crawl4ai
Corrigido em
0.8.0
0.8.1
0.8.0
Uma vulnerabilidade de Inclusão de Arquivo Local (LFI) foi descoberta na API Docker do Crawl4AI. Os endpoints /execute_js, /screenshot, /pdf e /html aceitam URLs do tipo file://, permitindo que atacantes leiam arquivos arbitrários do sistema de arquivos do servidor. Essa falha pode levar à exposição de informações confidenciais e comprometer a segurança da aplicação. A vulnerabilidade afeta versões do Crawl4AI anteriores ou iguais a 0.7.8 e foi corrigida na versão 0.8.0.
Um atacante não autenticado pode explorar essa vulnerabilidade para ler arquivos sensíveis armazenados no sistema de arquivos do servidor. Isso inclui arquivos de configuração da aplicação, arquivos de shadow (contendo hashes de senhas), e até mesmo o arquivo /etc/passwd, que pode conter informações sobre os usuários do sistema. Além disso, o atacante pode acessar variáveis de ambiente através de /proc/self/environ, descobrindo a estrutura interna da aplicação e potencialmente expondo credenciais e chaves de API. A exploração bem-sucedida pode resultar em acesso não autorizado a dados confidenciais e comprometimento da integridade do sistema.
Esta vulnerabilidade foi divulgada em 2026-01-16. Não há informações disponíveis sobre a adição a KEV ou a existência de exploração ativa no momento da divulgação. Um exemplo de carga útil para explorar a vulnerabilidade foi fornecido na descrição, demonstrando a facilidade de leitura de arquivos arbitrários. A ausência de um PoC público não significa que a vulnerabilidade não possa ser explorada.
Organizations deploying Crawl4AI in environments where sensitive data is stored on the server filesystem are at significant risk. This includes development environments, testing environments, and production deployments where the API is exposed without proper access controls. Shared hosting environments utilizing Crawl4AI are also particularly vulnerable, as a compromise of one container could potentially expose data from other containers on the same host.
• linux / server:
journalctl -u crawl4ai | grep -i "file://"• generic web:
curl -I 'http://your-crawl4ai-server/execute_js?url=file:///etc/passwd' • generic web:
grep "file://" /var/log/nginx/access.logdisclosure
Status do Exploit
EPSS
0.07% (percentil 20%)
CISA SSVC
Vetor CVSS
A mitigação imediata para esta vulnerabilidade é atualizar o Crawl4AI para a versão 0.8.0 ou superior, que corrige a falha de inclusão de arquivo. Se a atualização imediata não for possível, considere implementar regras de firewall (WAF) ou proxy para bloquear solicitações que contenham URLs do tipo file:// nos endpoints vulneráveis. Além disso, revise as permissões de acesso aos arquivos sensíveis no sistema de arquivos para garantir que apenas os usuários e processos autorizados tenham acesso a eles. Após a atualização, confirme a correção verificando se as solicitações com URLs file:// são bloqueadas ou tratadas corretamente.
Actualice Crawl4AI a la versión 0.8.0 o posterior. Esta versión corrige la vulnerabilidad de inclusión de archivos locales. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando la instalación existente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-26217 is a Local File Inclusion vulnerability in Crawl4AI versions up to 0.7.8, allowing attackers to read arbitrary files from the server.
Yes, if you are running Crawl4AI version 0.7.8 or earlier, you are affected by this vulnerability.
Upgrade Crawl4AI to version 0.8.0 or later to remediate the vulnerability. Implement WAF rules to block file:// URLs as a temporary workaround.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation warrants immediate attention and mitigation.
Refer to the Crawl4AI project's official channels (GitHub repository, project website) for the latest advisory and security updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.