何が起きたか
Crawl4AIのファイルダウンロード処理は、攻撃者の影響を受けたファイル名の検証または結果パスの制限を行わず、パストラバーサルまたは絶対パスファイル名を介した任意のファイル書き込みを許可します。これを他のプリミティブ (スタートアップスクリプトまたはcronロケーションへの書き込みなど) と組み合わせると、コード実行にエスカレートする可能性があります。
なぜ重要か
同じ日に公開された付随する RCE (CVE-2026-57572) および SSRF バイパス (CVE-2026-57573) と組み合わせると、攻撃者は Crawl4AI ベースのAI コンテンツパイプラインを完全に侵害する複数の連鎖的パスを持つことになります — 広くデプロイされた AI クローリングツールの重大なマルチベクトル侵害を表す単一のベンダー開示バッチ。
攻撃経路
クローラーがダウンロードしたファイルを保存する場合、宛先ファイル名は攻撃者の影響を受けた入力から取得され、パス制限なくダウンロードディレクトリに結合されるため、絶対パスまたは '../' トラバーサルシーケンスを含むファイル名は意図したダウンロードディレクトリの外に書き込まれます。
影響を受けるシステム
Crawl4AI (unclecode/crawl4ai) Docker APIサーバー、バージョン 0.9.0 より前
緩和策
Crawl4AI >= 0.9.0 にアップグレードしてください。クロール ワーカーをサンドボックス/コンテナ化し、クロールプロセスのファイルシステム書き込みスコープを制限してください。