返回列表

execute_js 服务器端请求伪造漏洞（CVE-2026-26217）

CVE: CVE-2026-26217

CNVD: 暂无

CNNVD: 暂无

漏洞类型: 命令执行

漏洞等级: 高危

年份: 2026

POC_ID: 94496

漏洞描述

Crawl4AI 是一个开源的 AI 爬虫工具。Crawl4AI 0.8.0 版本之前在 Docker API 部署中存在本地文件包含漏洞。攻击者可以通过 /execute_js、/screenshot、/pdf 和 /html 端点传入 file:// 协议的 URL，从而读取服务器文件系统上的任意文件（如 /etc/passwd）。

影响范围

Crawl4AI

漏洞详情

登录后可查看漏洞详情。请先登录或注册。

漏洞 POC

登录后可查看漏洞 POC。请先登录或注册。

修复建议

暂无

参考来源

https://r.jina.ai/https://rss.biu.life/ti/Crawl4AI%20/execute_js%20%E6%9C%8D%E5%8A%A1%E5%99%A8%E7%AB%AF%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0%E6%BC%8F%E6%B4%9E%EF%BC%88CVE-2026-26217%EF%BC%89