关键漏洞信息 漏洞详情 漏洞类型: Local File Inclusion 漏洞描述: 在 Crawl4AI Docker API 中存在本地文件包含漏洞。通过 、 、 和 端点可以接受 URL,允许攻击者读取服务器文件系统中的任意文件。 漏洞影响 未授权攻击者可以: - 读取敏感文件(如 、 、应用配置) - 通过 访问环境变量 - 发现内部应用结构 - 潜在读取凭证和 API 密钥 修复建议 1. 禁用 Docker API 2. 为 API 添加认证 3. 使用网络级过滤 漏洞影响范围 受影响版本: < 0.8.0 修复版本: 0.8.0 漏洞严重性 严重性等级: 高 CVSS v3.1 评分: 8.6 / 10 相关信息 CVSS v3 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 无 - 用户交互: 无 - 范围: 改变 - 机密性: 高 - 完整性: 无 - 可用性: 无 CVE ID: 未知 弱点类型: CWE-22 参考链接 Release notes Upgrade guide