今天重要資安快訊:Crawl4AI 的 Docker API server 有高風險任意檔案寫入漏洞,使用它做爬蟲、自動截圖或 PDF 產生的開發者應優先升級。
CVE-2026-56260(嚴重度 CVSS 9.1)
影響
Crawl4AI 0.8.7 之前版本受影響。這是給 AI / 自動化工作流程常用的爬蟲工具;如果你的專案或內部服務有使用 Crawl4AI 的 Docker API server,特別是 /screenshot 或 /pdf endpoints,就需要注意。
漏洞出在 output_path 參數沒有正確驗證。攻擊者可以提供絕對路徑或路徑穿越值,讓應用程式把截圖或 PDF 寫到任意「應用程式使用者有權限寫入」的位置,可能覆蓋伺服器檔案並造成服務阻斷。
該做什麼
將 Crawl4AI 升級到 0.8.7 或更新版本。
如果你暫時不能升級,應避免讓不可信使用者直接控制 /screenshot、/pdf 的 output_path 參數,並限制 Docker API server 對外暴露範圍;但主要修復方式仍是升級。
資料來源:NVD
- CVE-2026-56260:https://nvd.nist.gov/vuln/detail/CVE-2026-56260
- Crawl4AI:https://github.com/unclecode/crawl4ai
- GitHub Security Advisory:https://github.com/unclecode/crawl4ai/security/advisories/GHSA-365w-hqf6-vxfg
- VulnCheck Advisory:https://www.vulncheck.com/advisories/crawl4ai-arbitrary-file-write-via-output-path-parameter
推薦閱讀
資安快訊:今日重要 CVE(2026-07-07)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-58521
資安快訊:今日重要 CVE(2026-07-08)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-14363、CVE-2026-14345、CVE-2026-58473、CVE-2026-59706
資安快訊:今日重要 CVE(2026-07-09)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2022-26645、CVE-2022-28093、CVE-2022-27984、CVE-2022-27985、CVE-2022-30490、CVE-2022-36262、CVE-2022-37053、CVE-2022-36202
資安快訊:今日重要 CVE(2026-07-10)
NVD 今日 Critical 且與開發者相關的漏洞:CVE-2026-33211、CVE-2026-44774、CVE-2026-58025、CVE-2026-58122
訂閱最新文章
每週接收 Claude Code 最新動態、AI 開發工具趨勢與技術分析,直接送到你的信箱。
訂閱成功!歡迎加入,我們會寄一封確認信到你的信箱。
我們尊重你的隱私,隨時可以取消訂閱。
本文由 Namog Vibe Coding 自動化監控系統生成
讀者回應
載入中...