CVE-2026-56264
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 — wyżej niż 40% wszystkich znanych CVE
Streszczenie
Crawl4AI przed wersją 0.8.7 zawiera podatność na wykonanie dowolnego kodu JavaScript w punkcie końcowym /execute_js serwera API Docker. Atakujący może wykonać dowolny JavaScript w kontekście przeglądarki serwera z wyłączonymi zabezpieczeniami sieciowymi, co umożliwia ataki SSRF na wewnętrzne usługi.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia kontroli nad serwerem i przeprowadzenia ataków na wewnętrzne zasoby sieciowe, co może prowadzić do wycieku danych lub dalszej kompromitacji infrastruktury.
Rekomendacja
Należy natychmiast zaktualizować Crawl4AI do wersji 0.8.7 lub nowszej oraz ograniczyć dostęp do punktu końcowego /execute_js tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Crawl4AI before 0.8.7 contains an arbitrary JavaScript execution vulnerability in the Docker API server's /execute_js endpoint, which accepts and executes arbitrary user-supplied JavaScript in the server's browser context with --disable-web-security enabled. An attacker can execute arbitrary JavaScript and, combined with the browser's relaxed security settings, perform server-side request forgery against internal services.

