PT-2026-57550 · Crawl4Ai · Crawl4Ai

Geo-Chen

·

Publicado

2026-07-12

·

Atualizado

2026-07-12

·

CVE-2026-56259

CVSS v3.1

8.2

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Crawl4AI versões anteriores a 0.8.8
Descrição O servidor de API do Docker contém falhas de exfiltração de credenciais devido à validação inadequada de entrada e manipulação insegura de configuração. Atacantes não autenticados podem redirecionar chamadas de API de LLM para endpoints externos e ler variáveis de ambiente arbitrárias. Isso é feito explorando os endpoints '/md', '/llm' e '/llm/job' ao fornecer um parâmetro base url malicioso e definir o api token como env:VARIABLE NAME. Isso permite a exfiltração de chaves de API de provedores e segredos do servidor, como a JWT SECRET KEY, o que pode levar ao bypass de autenticação e falsificação de sessão.
Recomendações Atualize para a versão 0.8.8. Restrinja o acesso aos endpoints '/md', '/llm' e '/llm/job' para minimizar o risco de exploração.

Correção

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-56259

Produtos afetados

Crawl4Ai