CVE-2026-26216

Nome do Software Vulnerável e Versões Afetadas Versões do Crawl4AI anteriores à 0.8.0

Descrição O Crawl4AI é afetado por um problema de execução remota de código na implantação da API Docker. O endpoint /crawl aceita um parâmetro hooks contendo código Python que é executado usando exec(). A inclusão do builtin import dentro dos builtins permitidos permite que atacantes remotos não autenticados importem módulos arbitrários e executem comandos do sistema. A exploração bem-sucedida pode levar ao comprometimento total do servidor, incluindo execução arbitrária de comandos, acesso de leitura e gravação de arquivos, exfiltração de dados sensíveis e movimento lateral dentro de redes internas. O endpoint da API /crawl é vulnerável devido à aceitação de um parâmetro hooks. Este parâmetro contém código Python que é executado usando a função exec(). A função import estava presente nos builtins permitidos, permitindo que atacantes importassem módulos arbitrários e executassem comandos do sistema. Um exemplo de vetor de ataque envolve enviar uma requisição POST para o endpoint /crawl com um payload JSON contendo código malicioso dentro do parâmetro hooks.

Recomendações Versões anteriores à 0.8.0 devem ser atualizadas para a versão 0.8.0. Se uma atualização imediata não for possível, desative a API Docker. Alternativamente, bloqueie o endpoint /crawl no nível de rede. Adicione autenticação à API.