CVE-2026-56265
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
Crawl4AI przed wersją 0.8.7 zawiera podatność polegającą na ominięciu uwierzytelniania z powodu zakodowanego na stałe domyślnego klucza podpisywania JWT w serwerze API Docker. Atakujący znający domyślny klucz mogą sfałszować ważne tokeny uwierzytelniające dla dowolnego użytkownika, omijając uwierzytelnianie i uzyskując pełny dostęp do chronionych funkcji.
Ocena ryzyka
Ryzyko dla organizacji obejmuje nieautoryzowany dostęp do wrażliwych danych i funkcji systemu, co może prowadzić do naruszenia poufności, integralności i dostępności usług.
Rekomendacja
Zaleca się natychmiastową aktualizację Crawl4AI do wersji 8.7 lub nowszej oraz zmianę domyślnego klucza JWT na unikalny, silny klucz.
Oryginalny opis (angielski, źródło NVD)
Crawl4AI before 0.8.7 contains an authentication bypass vulnerability due to a hardcoded default JWT signing key in the Docker API server. Attackers who know the default key can forge valid authentication tokens for any user, bypassing authentication and gaining full access to protected functionality.

