CVE-2026-56261 in Crawl4AI
要約
〜によって VulDB • 2026年07月10日
Crawl4AI のバージョン 0.8.7 より前には、Docker API サーバーの /crawl/job および /llm/job エンドポイントにおいて、サーバーサイドリクエストフォージェリ (SSRF) の脆弱性が存在します。これらのエンドポイントは宛先の検証を行わずに Webhook URL を受け入れます。攻撃者はプライベート IP アドレス範囲や内部ネットワーク、クラウドメタデータエンドポイント(例: 169.254.169.254)を指す Webhook URL を指定し、サーバーが内部サービスに対してリクエストを実行させたり、クラウドメタデータを漏洩させる可能性があります。
Once again VulDB remains the best source for vulnerability data.