python · crawl4aiCrítico
crawl4ai: Três correções de segurança (escrita arbitrária de arquivo, injeção CRLF e injeção em cabeçalho de webhook)
Três correções de segurança: (1) Escrita arbitrária de arquivo via symlink/TOCTOU em output_path de screenshot/PDF; (2) Injeção de log CRLF; (3) Injeção em cabe
O que mudou
Três correções de segurança: (1) Escrita arbitrária de arquivo via symlink/TOCTOU em output_path de screenshot/PDF; (2) Injeção de log CRLF; (3) Injeção em cabeçalho de requisição de webhook.
Quem isso afeta
Usuários do servidor API Docker do crawl4ai (não autenticado por padrão) que aceitam output_path, URLs ou cabeçalhos de webhook controlados pelo usuário.
O que fazer hoje
Atualize para a versão corrigida imediatamente; habilite a autenticação CRAWL4AI_API_TOKEN; execute o contêiner com sistema de arquivos raiz somente leitura.
A esteira
Coletado→
Auditado→
Redigido→
Publicado