Katalog CVE

CVE-2026-56264

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.52%

Percentyl 40 — wyżej niż 40% wszystkich znanych CVE

Streszczenie

Crawl4AI przed wersją 0.8.7 zawiera podatność na wykonanie dowolnego kodu JavaScript w punkcie końcowym /execute_js serwera API Docker. Atakujący może wykonać dowolny JavaScript w kontekście przeglądarki serwera z wyłączonymi zabezpieczeniami sieciowymi, co umożliwia ataki SSRF na wewnętrzne usługi.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia kontroli nad serwerem i przeprowadzenia ataków na wewnętrzne zasoby sieciowe, co może prowadzić do wycieku danych lub dalszej kompromitacji infrastruktury.

Rekomendacja

Należy natychmiast zaktualizować Crawl4AI do wersji 0.8.7 lub nowszej oraz ograniczyć dostęp do punktu końcowego /execute_js tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Crawl4AI before 0.8.7 contains an arbitrary JavaScript execution vulnerability in the Docker API server's /execute_js endpoint, which accepts and executes arbitrary user-supplied JavaScript in the server's browser context with --disable-web-security enabled. An attacker can execute arbitrary JavaScript and, combined with the browser's relaxed security settings, perform server-side request forgery against internal services.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS