事件经过
Crawl4AI 的文件下载处理使用攻击者影响的文件名,未验证或限制生成的路径,允许通过路径遍历或绝对路径文件名进行任意文件写入——结合其他原语(例如写入启动脚本或 cron 位置)可升级为代码执行。
影响分析
结合当天披露的相关 RCE (CVE-2026-57572) 和 SSRF 绕过 (CVE-2026-57573),这为攻击者提供了多条链式途径来完全破坏基于 Crawl4AI 的 AI 内容管道——单个供应商披露批次代表对广泛部署的 AI 爬虫工具的关键多矢量破坏。
攻击途径
当爬虫保存下载的文件时,目标文件名取自攻击者影响的输入,并与下载目录联接而不进行路径限制,因此包含绝对路径或 '../' 遍历序列的文件名会在预期下载目录之外写入。
受影响系统
Crawl4AI (unclecode/crawl4ai) Docker API 服务器,0.9.0 版本之前
缓解措施
升级到 Crawl4AI >= 0.9.0。对爬虫工作进程进行沙盒化/容器化,并限制爬虫进程的文件系统写入范围。