PT-2026-57551 · Crawl4Ai · Crawl4Ai
Publicado
2026-07-12
·
Atualizado
2026-07-12
·
CVE-2026-56260
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Crawl4AI versões anteriores a 0.8.7
Description
Um problema de gravação arbitrária de arquivos existe no servidor de API do Docker. Os endpoints '/screenshot' e '/pdf' não validam o parâmetro
output path, o que permite que um invasor utilize caminhos absolutos ou sequências de path-traversal para gravar arquivos em qualquer local acessível pelo usuário da aplicação. Isso pode levar à sobrescrita de arquivos do servidor e resultar em uma negação de serviço.Recommendations
Atualize para a versão 0.8.7 ou posterior.
Como mitigação temporária, restrinja o acesso aos endpoints '/screenshot' e '/pdf' ou evite usar o parâmetro
output path até que a atualização seja aplicada.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Crawl4Ai