CVE-2026-56259 in Crawl4AIinformation

Résumé

par VulDB • 12/07/2026

Crawl4AI avant la version 0.8.8 présente des vulnérabilités d'exfiltration de données d'identification (credentials) dans le serveur API Docker, permettant aux attaquants de rediriger les appels vers l'API LLM vers des points de terminaison contrôlés par un attaquant et de lire n'importe quelles variables d'environnement. Les attaquants peuvent exploiter les points de terminaison /md, /llm et /llm/job non authentifiés en fournissant un paramètre base_url malveillant et en définissant api_token sur env:VARIABLE_NAME afin d'exfiltrer les clés API des fournisseurs ainsi que les secrets du serveur, y compris la JWT SECRET_KEY pour contourner l'authentification.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

VulnCheck

Réserver

19/06/2026

Divulgation

12/07/2026

Modérer

accepté

Entrée

VDB-377861

CPE

prêt

EPSS

0.00000

KEV

non

Activités

moyen

Sources

Do you need the next level of professionalism?

Upgrade your account now!