平台
other
组件
firecrawl
修复版本
2.8.1
CVE-2026-32857 描述了 Firecrawl 0–2.8.0 版本中存在的服务器端请求伪造 (SSRF) 保护绕过漏洞。该漏洞允许攻击者通过构造恶意 URL,绕过网络策略验证,从而访问内部网络服务和敏感端点。此问题影响使用 Firecrawl 进行网络爬取的系统,建议尽快采取措施。
攻击者可以利用此 SSRF 漏洞绕过 Firecrawl 的网络策略验证,通过 HTTP 重定向访问内部网络资源。攻击者首先提供一个看似合法的外部 URL,该 URL 会返回一个重定向到内部或受限资源的 HTTP 重定向。由于 Firecrawl 只验证初始 URL,而未验证重定向目标,浏览器会跟随重定向并获取最终目标,从而允许攻击者访问原本受保护的内部服务和敏感端点。这可能导致信息泄露、权限提升,甚至进一步的攻击。
目前尚未公开已知利用此漏洞的 PoC。CISA 尚未将其添加到 KEV 目录。由于该漏洞的 CVSS 评分为高,且 SSRF 漏洞通常易于利用,因此存在被利用的风险。建议密切关注安全社区的动态,及时获取最新的威胁情报。
Organizations utilizing Firecrawl for web scraping, particularly those with sensitive internal services or data, are at risk. Shared hosting environments where Firecrawl is deployed alongside other applications are also vulnerable, as a compromised Firecrawl instance could be used to pivot to other tenants.
• linux / server: Monitor Firecrawl logs for unusual outbound requests to internal IP addresses or services. Use journalctl -u firecrawl to filter for suspicious activity.
journalctl -u firecrawl | grep -i "internal_ip_address"• generic web: Use curl to test for SSRF by attempting to access internal resources through Firecrawl.
curl -v 'http://localhost/crawl?url=http://internal-service/sensitive-data' • generic web: Examine access logs for requests to unusual or unexpected internal URLs originating from the Firecrawl service.
disclosure
漏洞利用状态
EPSS
0.04% (12% 百分位)
CISA SSVC
为了缓解 CVE-2026-32857 的影响,建议立即升级到 Firecrawl 的修复版本。如果无法立即升级,可以考虑以下临时缓解措施:实施严格的网络策略,限制 Firecrawl 访问的外部资源;配置防火墙规则,阻止对内部资源的未经授权的访问;审查 Firecrawl 的配置,确保网络策略配置正确。在升级后,请验证网络策略是否生效,并确认 Firecrawl 无法访问内部资源。
升级 Firecrawl 到 2.8.0 之后的版本。这将修复 SSRF 漏洞,通过正确验证 HTTP 重定向。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-32857 是 Firecrawl 0–2.8.0 版本中发现的服务器端请求伪造 (SSRF) 保护绕过漏洞,允许攻击者访问内部网络服务。
如果您正在使用 Firecrawl 0–2.8.0 版本,则可能受到此漏洞的影响。请立即升级到修复版本。
建议升级到 Firecrawl 的修复版本。如果无法升级,请实施网络策略和防火墙规则等缓解措施。
目前尚未公开已知利用此漏洞的 PoC,但由于漏洞的 CVSS 评分为高,存在被利用的风险。
请查阅 Firecrawl 官方网站或安全公告,以获取有关此漏洞的更多信息。
CVSS 向量