CVE-2024-56800

Versões do Firecrawl anteriores à 1.1.1

O Firecrawl é um scraper da web que permite aos usuários extrair o conteúdo de uma página da web para um modelo de linguagem de grande porte. O mecanismo de scraping poderia ser explorado através da criação de um site malicioso que redirecionasse para um endereço IP local, permitindo a exfiltração de recursos da rede local por meio da API. O serviço em nuvem foi corrigido em 27 de dezembro de 2024, e os mantenedores verificaram que nenhum dado de usuário foi exposto por essa vulnerabilidade. Os mecanismos de scraping usados na versão de código aberto do Firecrawl foram corrigidos em 29 de dezembro de 2024, exceto pelos serviços Playwright, que os mantenedores determinaram serem impossíveis de corrigir.

Todos os usuários do software de código aberto (OSS) Firecrawl devem atualizar para a versão 1.1.1.

Como solução alternativa, os usuários do OSS Firecrawl devem fornecer aos serviços Playwright um proxy seguro. Um proxy pode ser especificado por meio da variável de ambiente PROXY SERVER. Certifique-se de que o servidor proxy que você está usando esteja configurado para bloquear todo o tráfego destinado a endereços IP locais de link.