CRITICAL🇬🇧 English

CVE-2026-56258

Crawl4AI: zapis dowolnych plików poza katalogiem przez path traversal i TOCTOU

CVSS 9.2v4.0pub. 2026-06-23upd. 2026-06-25

Crawl4AI przed wersją 0.8.8 zawiera podatność umożliwiającą nieuwierzytelnionym atakującym zapis dowolnych plików poza zamierzonym katalogiem wyjściowym. W sprzyjających warunkach może to prowadzić do wykonania kodu na serwerze (RCE).

Pokaż oryginał (EN)

Crawl4AI before 0.8.8 contains an arbitrary file write vulnerability in the screenshot and PDF endpoints that allows unauthenticated attackers to write files outside the intended directory via symlink and time-of-check-time-of-use (TOCTOU) attacks on the output_path parameter. Remote attackers can exploit insufficient path validation and symlink following to achieve arbitrary file write and potential code execution on systems where the runtime user has write access to executable or cron locations.

🤖 Analiza AI
Jak działa

Endpointy odpowiedzialne za generowanie zrzutów ekranu i plików PDF nie walidują wystarczająco parametru output_path. Atakujący może wskazać jako cel ścieżkę zawierającą dowiązanie symboliczne (symlink), a następnie wykorzystać lukę typu time-of-check-time-of-use (TOCTOU) — tj. podmienić cel dowiązania pomiędzy momentem sprawdzenia ścieżki a jej faktycznym użyciem. Skutkuje to zapisem treści kontrolowanej przez atakującego w dowolnym miejscu systemu plików dostępnym dla procesu aplikacji. Jeśli użytkownik, w którego kontekście działa aplikacja, posiada uprawnienia zapisu do lokalizacji wykonywalnych lub katalogów cron, możliwe jest uzyskanie RCE.

Skutki

Atakujący bez uwierzytelnienia może zapisać dowolne pliki w miejscach dostępnych dla procesu aplikacji, co w szczególnych konfiguracjach systemu prowadzi do zdalnego wykonania kodu (RCE) poprzez podmianę plików wykonywalnych lub zadań cron.

Mitygacja

Należy zaktualizować Crawl4AI do wersji 0.8.8 lub nowszej, w której wprowadzono poprawki walidacji parametru output_path. Szczegóły dostępne są w referencjach producenta: https://github.com/unclecode/crawl4ai/security/advisories/GHSA-7cx2-g3h9-382p

Kogo dotyczy

Kidocode Crawl4AI w wersjach przed 0.8.8

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Kidocode Crawl4ai

    APP
    Kidocode
    < 0.8.8
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth BypassRace ConditionPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-53753CRITICAL9.8PL ✓ten sam produkt

RCE w Crawl4AI — ucieczka z sandbox poprzez atrybuty generatorów Python

CVE-2026-56266CRITICAL9.2PL ✓ten sam produkt

SSRF w Crawl4AI — ominięcie blokady adresów wewnętrznych przez IPv6-mapped IPv4

CVE-2026-56265CRITICAL9.3PL ✓ten sam produkt

Obejście uwierzytelnienia w Crawl4AI przez zakodowany klucz JWT

CVE-2026-26216CRITICAL10.0PL ✓ten sam produkt

RCE w Crawl4AI — wykonanie kodu przez endpoint /crawl bez uwierzytelnienia

CVE-2026-26217CRITICAL9.2PL ✓ten sam produkt

Path Traversal w Crawl4AI — odczyt dowolnych plików przez file:// URL

CVE-2026-56258 — Crawl4AI: zapis dowolnych plików poza katalogiem przez path traversal i TOCTOU — CRITICAL 9.2 | CVEbaza.pl