Katalog CVE

CVE-2026-56264

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.52%

Percentyl 40 — wyżej niż 40% wszystkich znanych CVE

Streszczenie

Crawl4AI przed wersją 0.8.7 zawiera podatność umożliwiającą wykonanie dowolnego kodu JavaScript przez endpoint /execute_js w serwerze API Docker. Atakujący może przesłać złośliwy skrypt, który zostanie wykonany w kontekście przeglądarki serwera z wyłączonymi zabezpieczeniami sieciowymi.

Ocena ryzyka

Ryzyko obejmuje możliwość przeprowadzenia ataków SSRF na wewnętrzne usługi organizacji oraz wykonanie nieautoryzowanych operacji w przeglądarce serwera, co może prowadzić do wycieku danych lub eskalacji uprawnień.

Rekomendacja

Należy natychmiast zaktualizować Crawl4AI do wersji 0.8.7 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do endpointu /execute_js tylko do zaufanych adresów IP.

Oryginalny opis (angielski, źródło NVD)

Crawl4AI before 0.8.7 contains an arbitrary JavaScript execution vulnerability in the Docker API server's /execute_js endpoint, which accepts and executes arbitrary user-supplied JavaScript in the server's browser context with --disable-web-security enabled. An attacker can execute arbitrary JavaScript and, combined with the browser's relaxed security settings, perform server-side request forgery against internal services.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS