PT-2026-57550 · Crawl4Ai · Crawl4Ai
Geo-Chen
·
Publicado
2026-07-12
·
Atualizado
2026-07-12
·
CVE-2026-56259
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Crawl4AI versões anteriores a 0.8.8
Descrição
O servidor de API do Docker contém falhas de exfiltração de credenciais devido à validação inadequada de entrada e manipulação insegura de configuração. Atacantes não autenticados podem redirecionar chamadas de API de LLM para endpoints externos e ler variáveis de ambiente arbitrárias. Isso é feito explorando os endpoints '/md', '/llm' e '/llm/job' ao fornecer um parâmetro
base url malicioso e definir o api token como env:VARIABLE NAME. Isso permite a exfiltração de chaves de API de provedores e segredos do servidor, como a JWT SECRET KEY, o que pode levar ao bypass de autenticação e falsificação de sessão.Recomendações
Atualize para a versão 0.8.8.
Restrinja o acesso aos endpoints '/md', '/llm' e '/llm/job' para minimizar o risco de exploração.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Crawl4Ai