Katalog CVE

CVE-2026-56266

WysokieCVSS 8.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 - wyżej niż 21% wszystkich znanych CVE

Streszczenie

Crawl4AI przed wersją 0.8.7 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w endpointach /crawl, /crawl/stream, /md i /llm, które pobierają dowolne adresy URL podane przez użytkownika bez walidacji. Nieuwierzytelnieni atakujący mogą ominąć blokadę adresów wewnętrznych za pomocą adresów IPv6 mapowanych na IPv4, aby uzyskać dostęp do wewnętrznych usług i punktów końcowych metadanych chmury.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego dostępu do wewnętrznych zasobów sieciowych, takich jak usługi wewnętrzne i metadane chmury, co może prowadzić do wycieku wrażliwych danych lub dalszej kompromitacji infrastruktury.

Rekomendacja

Zaleca się natychmiastową aktualizację Crawl4AI do wersji 0.8.7 lub nowszej oraz wdrożenie dodatkowej walidacji adresów URL i ograniczeń sieciowych dla endpointów podatnych na SSRF.

Oryginalny opis (angielski, źródło NVD)

Crawl4AI before 0.8.7 contains a server-side request forgery vulnerability in the /crawl, /crawl/stream, /md, and /llm endpoints that fetch arbitrary user-supplied URLs without validation. Unauthenticated attackers can bypass the internal-address blocklist using IPv6-mapped IPv4 addresses to reach internal services and cloud metadata endpoints.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS