关键信息 漏洞描述 漏洞类型: 远程代码执行 (RCE) 影响范围: Crawl4AI Docker API 部署 受影响版本: < 0.8.0 修复版本: 0.8.0 攻击向量 攻击方式: 通过 终端的 参数执行 Python 代码 代码示例: 影响 可能危害: - 执行任意系统命令 - 读写服务器上的文件 - 泄露敏感数据(环境变量、API 密钥) - 转向内部网络服务 - 完全控制服务器 缓解措施 1. 升级到 v0.8.0 (推荐) 2. 暂时无法升级: - 关闭 Docker API - 在网络级别阻止 终端 - 添加 API 身份验证 修复细节 1. 移除了 中 的 2. 默认禁用 Hooks ( ) 3. 用户需要显式启用 Hooks 信用 发现者: Neo 通过 ProjectDiscovery 参考: - 发布说明 v0.8.0 - 迁移指南