CVE-2026-56264
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 — wyżej niż 40% wszystkich znanych CVE
Streszczenie
Crawl4AI przed wersją 0.8.7 zawiera podatność umożliwiającą wykonanie dowolnego kodu JavaScript przez endpoint /execute_js w serwerze API Docker. Atakujący może przesłać złośliwy skrypt, który zostanie wykonany w kontekście przeglądarki serwera z wyłączonymi zabezpieczeniami sieciowymi.
Ocena ryzyka
Ryzyko obejmuje możliwość przeprowadzenia ataków SSRF na wewnętrzne usługi organizacji oraz wykonanie nieautoryzowanych operacji w przeglądarce serwera, co może prowadzić do wycieku danych lub eskalacji uprawnień.
Rekomendacja
Należy natychmiast zaktualizować Crawl4AI do wersji 0.8.7 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć dostęp do endpointu /execute_js tylko do zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
Crawl4AI before 0.8.7 contains an arbitrary JavaScript execution vulnerability in the Docker API server's /execute_js endpoint, which accepts and executes arbitrary user-supplied JavaScript in the server's browser context with --disable-web-security enabled. An attacker can execute arbitrary JavaScript and, combined with the browser's relaxed security settings, perform server-side request forgery against internal services.

