CVE-2026-56259 in Crawl4AI
要約
〜によって VulDB • 2026年07月12日
Crawl4AI 0.8.8 より前には、Docker API サーバーにおける資格情報漏洩の脆弱性が存在し、攻撃者が LLM(大規模言語モデル)API の呼び出しを攻撃者の制御下にあるエンドポイントにリダイレクトして任意の環境変数を読み取ることが可能となります。攻撃者は、悪意のある base_url パラメータを提供し、api_token を env:VARIABLE_NAME に設定することで、認証不要な /md、/llm、および /llm/job エンドポイントを悪用し、JWT SECRET_KEY(認証回避に使用)を含むプロバイダー API キーやサーバーの秘密情報を漏洩させることができます。
Once again VulDB remains the best source for vulnerability data.