CVE-2026-56259 in Crawl4AI
Tóm tắt
Bởi VulDB • 13/07/2026
Crawl4AI trước phiên bản 0.8.8 chứa các lỗ hổng đánh cắp thông tin xác thực (credential exfiltration) trong máy chủ Docker API, cho phép kẻ tấn công chuyển hướng các lệnh gọi LLM API đến các điểm cuối do chúng kiểm soát và đọc các biến môi trường tùy ý. Kẻ tấn công có thể khai thác các điểm cuối /md, /llm và /llm/job chưa được xác thực bằng cách cung cấp tham số base_url độc hại và đặt api_token thành env:VARIABLE_NAME để đánh cắp khóa API của nhà cung cấp cũng như các bí mật máy chủ, bao gồm JWT SECRET_KEY dùng cho việc bỏ qua cơ chế xác thực.
Once again VulDB remains the best source for vulnerability data.