CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-2286

Critical
Published: Translated: NVD NIST

Summary

CrewAI zawiera podatność typu server-side request forgery (SSRF), która umożliwia pozyskiwanie treści z usług wewnętrznych i chmurowych. Problem wynika z niewłaściwej walidacji adresów URL dostarczanych w czasie wykonywania przez narzędzia wyszukiwania RAG.

Risk Assessment

Podatność ta może prowadzić do nieautoryzowanego dostępu do wrażliwych danych w systemach wewnętrznych oraz chmurowych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Recommendation

Zaleca się wdrożenie odpowiednich mechanizmów walidacji adresów URL oraz przegląd konfiguracji narzędzi RAG, aby zminimalizować ryzyko związane z tą podatnością.

Original NVD description (English source)

CrewAI contains a server-side request forgery vulnerability that enables content acquisition from internal and cloud services, facilitated by the RAG search tools not properly validating URLs provided at runtime.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS