CVE-2026-56265
🟠 Łataj w tym tygodniu
Obejście uwierzytelnienia w Crawl4AI umożliwia dostęp do chronionych funkcji bez autoryzacji.
CVSS
9.8
EPSS
0.4%
Exploit
none
Vendor
kidocode
Opis źródłowy (NVD)
Crawl4AI before 0.8.7 contains an authentication bypass vulnerability due to a hardcoded default JWT signing key in the Docker API server. Attackers who know the default key can forge valid authentication tokens for any user, bypassing authentication and gaining full access to protected functionality.
auth-bypass
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.8 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.4% |
| Opublikowano (NVD) | 2026-06-21 14:16:24 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-26 13:52:16 UTC |
Referencje
- https://github.com/unclecode/crawl4ai (disclosure@vulncheck.com) [Product]
- https://github.com/unclecode/crawl4ai/security/advisories/GHSA-365w-hqf6-vxfg (disclosure@vulncheck.com) [Mitigation, Vendor Advisory]
- https://www.vulncheck.com/advisories/crawl4ai-authentication-bypass-via-hardcoded-jwt-signing-key (disclosure@vulncheck.com) [Third Party Advisory]