Crawl4AI before 0.8.7 contains an authentication bypass vulnerability due to a hardcoded default JWT signing key in the Docker API server. Attackers who know the default key can forge valid authentication tokens for any user, bypassing authentication and gaining full access to protected functionality.
CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XKidocode Crawl4ai
APPKidocode< 0.8.7
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
Tags
Auth BypassContainer
CWE
Related vulnerabilities
CVE-2026-56258CRITICAL9.2PL ✓ten sam produkt
Crawl4AI: zapis dowolnych plików poza katalogiem przez path traversal i TOCTOU
CVE-2026-53753CRITICAL9.8PL ✓ten sam produkt
RCE w Crawl4AI — ucieczka z sandbox poprzez atrybuty generatorów Python
CVE-2026-56266CRITICAL9.2PL ✓ten sam produkt
SSRF w Crawl4AI — ominięcie blokady adresów wewnętrznych przez IPv6-mapped IPv4
CVE-2026-26216CRITICAL10.0PL ✓ten sam produkt
RCE w Crawl4AI — wykonanie kodu przez endpoint /crawl bez uwierzytelnienia
CVE-2026-26217CRITICAL9.2PL ✓ten sam produkt
Path Traversal w Crawl4AI — odczyt dowolnych plików przez file:// URL