HIGHCVE-2026-26217CVSS 8.6

Crawl4AI 在 Docker API 中存在本地文件包含漏洞，通过 file:// URL 实现

平台

python

组件

crawl4ai

修复版本

0.8.0

0.8.1

0.8.0

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-26217 描述了 Crawl4AI Docker API 中的一个本地文件包含 (LFI) 漏洞。此漏洞允许未经身份验证的攻击者通过构造的URL读取服务器文件系统中的任意文件，从而可能泄露敏感信息。该漏洞影响 Crawl4AI 版本小于或等于 0.7.8 的用户。已发布补丁版本 0.8.0，建议尽快升级。

影响与攻击场景

该LFI漏洞的影响非常严重。攻击者可以通过利用 /execute_js、/screenshot、/pdf 和 /html 端点，使用 file:// URL 协议读取服务器上的任意文件。这包括敏感文件，如 /etc/passwd 和 /etc/shadow，以及应用程序配置文件。此外，攻击者还可以通过读取 /proc/self/environ 访问环境变量，从而发现内部应用程序结构，并可能读取凭据和 API 密钥。攻击者可以利用这些信息进行进一步的攻击，例如横向移动到其他系统或窃取敏感数据。

利用背景

该漏洞已公开披露，并且存在一个简单的POC，利用file:// URL协议读取敏感文件。目前尚未观察到大规模的利用活动，但由于漏洞的易利用性，存在被利用的风险。该漏洞尚未被添加到 CISA KEV 目录中。建议密切关注安全社区的动态，并及时采取缓解措施。

哪些人处于风险中翻译中…

Organizations deploying Crawl4AI in environments where sensitive data is stored on the server filesystem are at significant risk. This includes development environments, testing environments, and production deployments where the API is exposed without proper access controls. Shared hosting environments utilizing Crawl4AI are also particularly vulnerable, as a compromise of one container could potentially expose data from other containers on the same host.

检测步骤翻译中…

• linux / server:

journalctl -u crawl4ai | grep -i "file://"

• generic web:

curl -I 'http://your-crawl4ai-server/execute_js?url=file:///etc/passwd'

• generic web:

 grep "file://" /var/log/nginx/access.log

攻击时间线

2026-01-16Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.07% (20% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件crawl4ai

供应商osv

影响范围修复版本

0 – 0.8.00.8.0

0.8.00.8.1

—0.8.0

弱点分类 (CWE)

CWE-22

时间线

已保留2026-02-11
发布日期2026-01-16
修改日期2026-02-22
EPSS 更新日期2026-03-23

披露后0天发布补丁

缓解措施和替代方案

为了缓解 CVE-2026-26217 的影响，建议立即升级 Crawl4AI 到 0.8.0 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制对 /execute_js、/screenshot、/pdf 和 /html 端点的访问，只允许来自受信任来源的请求。实施严格的输入验证，以防止攻击者注入恶意 file:// URL。考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求。如果无法实施这些措施，则应禁用这些端点，直到能够升级到修复版本。

修复方法翻译中…

Actualice Crawl4AI a la versión 0.8.0 o posterior. Esta versión corrige la vulnerabilidad de inclusión de archivos locales. La actualización se puede realizar descargando la nueva versión desde el repositorio oficial y reemplazando la instalación existente.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-26217 — 本地文件包含漏洞在 Crawl4AI 中？

CVE-2026-26217 是 Crawl4AI Docker API 中发现的一个本地文件包含 (LFI) 漏洞，允许攻击者读取服务器文件系统中的任意文件。

我是否受到 CVE-2026-26217 在 Crawl4AI 中影响？

如果您正在使用 Crawl4AI 版本小于或等于 0.7.8，则您可能受到此漏洞的影响。

我如何修复 CVE-2026-26217 在 Crawl4AI 中？

建议升级到 Crawl4AI 0.8.0 或更高版本以修复此漏洞。

CVE-2026-26217 是否正在被积极利用？

虽然目前尚未观察到大规模的利用活动，但由于漏洞的易利用性，存在被利用的风险。

在哪里可以找到 Crawl4AI 官方关于 CVE-2026-26217 的公告？

请查阅 Crawl4AI 官方安全公告或 GitHub 仓库以获取更多信息。