CVE-2026-56263
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Crawl4AI przed wersją 0.8.7 zawiera podatność na trwały skrypt między witrynami (stored XSS) w panelu monitorowania. Panel renderuje adresy URL i komunikaty błędów za pomocą innerHTML bez odpowiedniego kodowania, co pozwala atakującemu na przesłanie spreparowanego żądania indeksowania zawierającego złośliwy kod. Kod ten wykonuje się w przeglądarce operatora podczas przeglądania panelu.
Ocena ryzyka
Atakujący może przejąć sesję operatora, wykraść dane uwierzytelniające lub wykonać inne nieautoryzowane działania w kontekście panelu monitorowania, co zagraża poufności i integralności systemu.
Rekomendacja
Należy niezwłocznie zaktualizować Crawl4AI do wersji 0.8.7 lub nowszej, która zawiera poprawkę usuwającą podatność. Do czasu aktualizacji należy ograniczyć dostęp do panelu monitorowania tylko do zaufanych operatorów.
Oryginalny opis (angielski, źródło NVD)
Crawl4AI before 0.8.7 contains a stored cross-site scripting vulnerability in the monitor dashboard that renders crawl URLs and error messages via innerHTML without escaping. An attacker can submit a crafted crawl request with malicious markup that executes in an operator's browser when viewing the dashboard.

