PT-2026-57551 · Crawl4Ai · Crawl4Ai

Publicado

2026-07-12

·

Atualizado

2026-07-12

·

CVE-2026-56260

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Crawl4AI versões anteriores a 0.8.7
Description Um problema de gravação arbitrária de arquivos existe no servidor de API do Docker. Os endpoints '/screenshot' e '/pdf' não validam o parâmetro output path, o que permite que um invasor utilize caminhos absolutos ou sequências de path-traversal para gravar arquivos em qualquer local acessível pelo usuário da aplicação. Isso pode levar à sobrescrita de arquivos do servidor e resultar em uma negação de serviço.
Recommendations Atualize para a versão 0.8.7 ou posterior. Como mitigação temporária, restrinja o acesso aos endpoints '/screenshot' e '/pdf' ou evite usar o parâmetro output path até que a atualização seja aplicada.

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-56260

Produtos afetados

Crawl4Ai