CVE-2026-26217

Nome do Software Vulnerável e Versões Afetadas Versões do Crawl4AI anteriores a 0.8.0

Descrição O Crawl4AI é afetado por uma vulnerabilidade de inclusão de arquivo local em sua implantação da API Docker. Os endpoints da API /execute js, /screenshot, /pdf e /html aceitam URLs file://, o que permite que atacantes remotos não autenticados leiam arquivos arbitrários do sistema de arquivos do servidor. Um atacante pode acessar arquivos sensíveis como /etc/passwd, /etc/shadow, arquivos de configuração da aplicação e variáveis de ambiente via /proc/self/environ, potencialmente expondo credenciais, chaves de API e a estrutura interna da aplicação. Um exemplo de vetor de ataque envolve enviar uma requisição POST para o endpoint /execute js com um parâmetro url definido como file:///etc/passwd e um parâmetro scripts.

Recomendações Versões anteriores a 0.8.0: Desative a API Docker. Versões anteriores a 0.8.0: Adicione autenticação à API. Versões anteriores a 0.8.0: Utilize filtragem em nível de rede.