CVE-2026-56259 in Crawl4AI
الملخص
بحسب VulDB • 12/07/2026
تحتوي Crawl4AI قبل الإصدار 0.8.8 على ثغرات لاستخراج بيانات الاعتماد (Credential Exfiltration) في خادم واجهة برمجة تطبيقات Docker، مما يسمح للمهاجمين بإعادة توجيه استدعاءات واجهة برمجة التطبيقات الخاصة بالنماذج اللغوية الكبيرة (LLM API Calls) إلى نقاط نهاية خاضعة لسيطرتهم وقراءة متغيرات البيئة بشكل تعسفي. يمكن للمهاجمين استغلال النقاط غير المصادق عليها `/md` و`/llm` و`/llm/job` عن طريق توفير معلمة `base_url` ضارة وتعيين `api_token` إلى `env:VARIABLE_NAME` لاستخراج مفاتيح واجهة برمجة التطبيقات الخاصة بالمزود والأسرار الخادمية، بما في ذلك مفتاح JWT SECRET_KEY لتجاوز المصادقة.
If you want to get best quality of vulnerability data, you may have to visit VulDB.