事件经过
Crawl4AI 0.8.7 之前的版本在 /crawl、/crawl/stream、/md 和 /llm 端点中包含 SSRF 漏洞。内部地址阻止列表使用基于 IPv4/IPv6 CIDR 的过滤,但可以使用 IPv6 映射的 IPv4 地址绕过(例如 ::ffff:169.254.169.254 用于云元数据)。无身份验证的攻击者可以到达内部服务。CVSS 8.6 高,发布于 2026-06-22。
影响分析
/llm 端点专门设计用于生成 LLM 就绪输出 — 意味着攻击者可以强制 Crawl4AI 爬取内部云元数据、IMDS 凭证和内部 AI 服务,结果以干净的 LLM 格式化输出返回。Docker API 在默认情况下是无身份验证的,使这成为对 AI 数据管道的零认证 SSRF。
攻击途径
无身份验证的 POST 到 /crawl、/crawl/stream、/md 或 /llm,带有 IPv6 映射的 IPv4 地址(::ffff:169.254.169.254)绕过阻止列表并到达云元数据或内部服务
受影响系统
Crawl4AI < 0.8.7
缓解措施
升级到 Crawl4AI 0.8.7。源:https://github.com/unclecode/crawl4ai