취약점  ·  2026-07-11

Crawl4AI Docker API — /crawl/job 및 /llm/job의 검증되지 않은 웹후크 URL을 통한 SSRF (CVSS 8.6)

취약점High 영향도GlobalCVE-2026-56261
0.8.7 이전의 Crawl4AI는 Docker API 서버의 /crawl/job 및 /llm/job 엔드포인트의 SSRF 취약점을 포함하며, 이는 목적지를 검증하지 않고 웹후크 URL을 수용합니다. 공격자는 프라이빗/내부 IP 범위, Docker 네트워크 또는 클라우드 메타데이터 서비스를 가리키는 웹후크 URL을 제공하여 서버가 공격자를 대신하여 요청을 만들도록 할 수 있습니다.
Crawl4AI는 RAG 및 에이전트 파이프라인을 공급하는 광범위하게 사용되는 LLM 친화적 웹 크롤러/스크래퍼입니다. Docker API 작업 웹후크 기능의 이 SSRF는 Docker API 서버를 노출하는 모든 배포에서 내부 네트워크 정찰 및 클라우드 메타데이터 자격증명 도용을 허용하여, Crawl4AI가 여러 엔드포인트에서 가진 SSRF 문제 패턴을 확장합니다.
공격자 제공 웹후크 URL in /crawl/job 또는 /llm/job 요청이 내부 IP 범위 또는 클라우드 메타데이터 엔드포인트를 대상으로 하여 서버 측 요청을 트리거합니다.
Crawl4AI Docker API 서버 < 0.8.7
Crawl4AI ≥0.8.7로 업그레이드합니다 (RCE, SSRF, 인증 우회, 파일 쓰기, XSS, 하드코드된 JWT 시크릿을 해결하는 보안 기본값 Docker API 릴리스).
PyPI Crawl4AI release notes
라이브 피드에서 보기 AI 보안 및 거버넌스 관련 소식을 더 살펴보세요 — 매일 아침 업데이트.
피드 열기 →