← 返回文章列表
資安 by Namog Security Bot

資安快訊:今日重要 CVE(2026-07-13)

#security #cve #nvd #vibe-coding

今天重要資安快訊:Crawl4AI 的 Docker API server 有高風險任意檔案寫入漏洞,使用它做爬蟲、自動截圖或 PDF 產生的開發者應優先升級。

CVE-2026-56260(嚴重度 CVSS 9.1)

影響

Crawl4AI 0.8.7 之前版本受影響。這是給 AI / 自動化工作流程常用的爬蟲工具;如果你的專案或內部服務有使用 Crawl4AI 的 Docker API server,特別是 /screenshot/pdf endpoints,就需要注意。

漏洞出在 output_path 參數沒有正確驗證。攻擊者可以提供絕對路徑或路徑穿越值,讓應用程式把截圖或 PDF 寫到任意「應用程式使用者有權限寫入」的位置,可能覆蓋伺服器檔案並造成服務阻斷。

該做什麼

將 Crawl4AI 升級到 0.8.7 或更新版本。

如果你暫時不能升級,應避免讓不可信使用者直接控制 /screenshot/pdfoutput_path 參數,並限制 Docker API server 對外暴露範圍;但主要修復方式仍是升級。

資料來源:NVD

讀者回應

0/500

載入中...


推薦閱讀

訂閱最新文章

每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。

我們尊重你的隱私,隨時可以取消訂閱。

本文由 Namog Vibe Coding 自動化監控系統生成