Pubblicato il 2026-07-06 · Fonte: NVD NIST
La vulnerabilità CVE-2026-57572 colpisce Crawl4AI, un web crawler e scraper open-source. Prima della versione 0.9.0, il server API di Docker accettava argomenti di configurazione del browser forniti nella richiesta, che venivano poi utilizzati come argomenti di lancio di Chromium. Ciò ha permesso a un attaccante di iniettare switch di Chromium che sostituiscono il comando di lancio di un processo figlio insieme a --no-zygote, facendo in modo che Chromium eseguisse un comando controllato dall'attaccante come utente di runtime del contenitore. La vulnerabilità è stata risolta nella versione 0.9.0.
Un attaccante può sfruttare questa vulnerabilità per eseguire comandi arbitrari all'interno del contenitore Docker, poiché l'API di Docker non richiede autenticazione di default. Ciò significa che un singolo request può portare all'esecuzione di comandi arbitrari. I sistemi che utilizzano Crawl4AI in versioni precedenti alla 0.9.0 sono a rischio.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare Crawl4AI alla versione 0.9.0 o successiva. Inoltre, è importante assicurarsi che l'API di Docker sia configurata per richiedere autenticazione e che siano implementate pratiche di sicurezza generiche per prevenire attacchi di questo tipo.
La vulnerabilità CVE-2026-57572 è una vulnerabilità di esecuzione di comandi arbitrari in Crawl4AI, che consente a un attaccante di eseguire comandi all'interno del contenitore Docker.
L'impatto della vulnerabilità è critico, con un CVSS Score di 10.0, poiché consente l'esecuzione di comandi arbitrari all'interno del contenitore Docker.
Per proteggersi da questa vulnerabilità, è necessario aggiornare Crawl4AI alla versione 0.9.0 o successiva e assicurarsi che l'API di Docker sia configurata per richiedere autenticazione.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.