CVE-2026-2286
CriticalSummary
CrewAI zawiera podatność typu server-side request forgery (SSRF), która umożliwia pozyskiwanie treści z usług wewnętrznych i chmurowych. Problem wynika z niewłaściwej walidacji adresów URL dostarczanych w czasie wykonywania przez narzędzia wyszukiwania RAG.
Risk Assessment
Podatność ta może prowadzić do nieautoryzowanego dostępu do wrażliwych danych w systemach wewnętrznych oraz chmurowych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Recommendation
Zaleca się wdrożenie odpowiednich mechanizmów walidacji adresów URL oraz przegląd konfiguracji narzędzi RAG, aby zminimalizować ryzyko związane z tą podatnością.
Original NVD description (English source)
CrewAI contains a server-side request forgery vulnerability that enables content acquisition from internal and cloud services, facilitated by the RAG search tools not properly validating URLs provided at runtime.

