つみかさね

CVE-2026-56260

Critical(9.1)

Crawl4AIの任意ファイル書き込み CVE-2026-56260:影響範囲と対応方法

公開日: 2026-07-13データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Crawl4AIunclecode0.8.7未満

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1Crawl4AIのバージョンを確認する(0.8.7未満なら影響あり)
  2. 2Docker APIサーバが外部からアクセス可能かどうか確認する
  3. 3Crawl4AI 0.8.7以降へアップデートする
  4. 4アップデートまでの間、ネットワークアクセス制御で外部からのDocker APIアクセスをブロックする

影響対象

Crawl4AI 0.8.7未満のDocker API利用者

補足

  • -内部ネットワークのみで使用している場合でも、アップデートを推奨します
CVECrawl4AIパストラバーサルファイル書き込みDocker

30秒で判断

対応すべき人:

  • Crawl4AI 0.8.7未満をDockerで稼働させている
  • /screenshotまたは/pdfエンドポイントが外部からアクセス可能な状態

対応不要な人:

  • Crawl4AI 0.8.7以降を使用中
  • Crawl4AIを使用していない
  • Docker APIサーバを外部公開していない(内部ネットワークのみで使用)

確認コマンド:

# バージョン確認
pip show crawl4ai | grep Version
# または
docker inspect <crawl4ai-container> | grep -i version

概要

Crawl4AIのDocker APIサーバにある/screenshotおよび/pdfエンドポイントで、output_pathパラメータが検証なしで任意のファイルシステムパスを受け入れます。攻撃者が絶対パスまたはパストラバーサル値(例: /etc/passwd../../important_file)をoutput_pathとして指定することで、アプリケーションユーザーが書き込み可能な任意の場所にファイルを作成・上書きできます。

これにより、重要なシステムファイルの破損やサービス停止が発生する可能性があります。


CVSSベクトル

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeUnchanged
ConfidentialityNone
IntegrityHigh
AvailabilityHigh
CVSSスコア9.1(Critical)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Crawl4AIunclecode0.8.7未満

修正バージョンと回避策

修正バージョン: Crawl4AI 0.8.7以降

回避策(アップデートが困難な場合):

  • Docker APIサーバへのアクセスを信頼できるIPアドレスのみに制限する
  • ファイアウォールルールで外部からのDocker API(ポート11235等)へのアクセスをブロックする

関連リンク


データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。