CVE-2026-56259 in Crawl4AI
Résumé
par VulDB • 12/07/2026
Crawl4AI avant la version 0.8.8 présente des vulnérabilités d'exfiltration de données d'identification (credentials) dans le serveur API Docker, permettant aux attaquants de rediriger les appels vers l'API LLM vers des points de terminaison contrôlés par un attaquant et de lire n'importe quelles variables d'environnement. Les attaquants peuvent exploiter les points de terminaison /md, /llm et /llm/job non authentifiés en fournissant un paramètre base_url malveillant et en définissant api_token sur env:VARIABLE_NAME afin d'exfiltrer les clés API des fournisseurs ainsi que les secrets du serveur, y compris la JWT SECRET_KEY pour contourner l'authentification.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.