【漏洞预警】Crawl4AI 代码执行及SSRF漏洞情报预警(CVE-2026-26216 CVE-2026-26217)
江思煦 4天前
一、基本信息
| 项目 | |
|---|---|
| 报告名称 | Crawl4AI /crawl hooks 代码执行漏洞(CVE-2026-26216) Crawl4AI /execute_js 服务器端请求伪造漏洞(CVE-2026-26217) |
| 报告时间 | 2026年02月27日 |
| 影响系统 | Crawl4AI--Playground |
| 影响版本 | 0.8.0之前所有版本 |
| 产品官网 | https://docs.crawl4ai.com/ |
| 漏洞类型 | CVE-2026-26216(高危):代码执行 CVE-2026-26217(中危):服务器请求伪造 |
| 披露时间 | 2026年02月12日 |
| 威胁状态 | 已公开技术细节,POC已公开,存在较大在野利用风险 |
二、漏洞详情
2.1 产品概述
Crawl4AI 是一款开源的 AI 爬虫工具,为开发者和相关业务方提供智能化的网页爬取、数据采集等核心功能,广泛应用于数据挖掘、信息收集、业务分析等场景,其Docker API 部署形式因便捷性被众多用户采用,该工具的部署环境存储爬取的各类数据,部分场景下涉及敏感业务信息,在 Github 拥有60K+的star,深受广大开发者的关注。
2.2 漏洞描述
CVE-2026-26216:漏洞存在于 /crawl 接口处。由于产品未对接口传入的 hooks 参数进行严格的校验和过滤,攻击者可直接向该端点传入包含恶意 Python 代码的 hooks参数,服务器端会解析并执行该恶意代码,进而实现任意系统命令执行。
CVE-2026-26217:攻击者可以通过 /execute_js、/screenshot、/pdf 和 /html 端点传入 file:// 协议的 URL,从而读取服务器文件系统上的任意文件(如/etc/passwd)。
三、资产描述
FOFA 资产自检语法: app="Crawl4AI-Playground"
资产概况:
根据 FOFA 测绘数据来看,近一年漏洞影响全球受影响的公网资产数量为 409 条,漏洞主要影响美国、德国和中国的资产。
| 国家/地区 | 资产数量 | 占比 |
|---|---|---|
| 美国 | 130 | 26.53% |
| 德国 | 53 | 12.96% |
| 中国 | 52 | 12.71% |
其中,影响我国 52 条 相关资产,中国大陆有46 条资产,中国香港有 5 条资产,中国台湾省 1 条资产,中国澳门有 0 条资产。
四、修复方案
版本更新:厂商已发布漏洞修复程序,用户可及时关注官方安全公告进行版本升级,修复地址:
https://github.com/unclecode/crawl4ai/security/advisories/GHSA-5882-5rx9-xgxp
项目地址:https://github.com/unclecode/crawl4ai。
五、我司产品支持情况
FOEYE:支持该漏洞关联内网资产风险应急响应,直接发现受此漏洞影响的内网资产清单,一键进行专项漏洞风险排查。
FORadar:支持一键关联用户存量资产库,自动匹配受该漏洞影响的互联网暴露风险资产,对风险资产发起专项扫描任务。
Goby:支持针对目标资产进行该漏洞的主动漏洞扫描探测及实战化漏洞验证。
最新评论