CVE-2026-56259 in Crawl4AI
요약
\~에 의해 VulDB • 2026. 07. 12.
0.8.8 이전 버전의 Crawl4AI에는 Docker API 서버에서 자격 증명 탈취 취약점이 존재하며, 공격자가 LLM API 호출을 자신들이 제어하는 엔드포인트로 리디렉션하고 임의의 환경 변수를 읽을 수 있습니다. 공격자는 악성 base_url 매개변수를 제공하고 api_token을 env:VARIABLE_NAME으로 설정하여 인증되지 않은 /md, /llm 및 /llm/job 엔드포인트를 통해 공급자 API 키와 JWT SECRET_KEY(인증 우회용)를 포함한 서버 비밀 정보를 탈취할 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.