python · crawl4aiCrítico
crawl4ai Docker API: SSRF sem validação de destino no endpoint de streaming
Os endpoints de streaming do Docker API (/crawl/stream e /crawl com stream=true) não validavam destinos SSRF, permitindo SSRF de leitura não autenticada.
O que mudou
Os endpoints de streaming do Docker API (/crawl/stream e /crawl com stream=true) não validavam destinos SSRF, permitindo SSRF de leitura não autenticada. A correção adiciona validação de destino ao manipulador de streaming.
Quem isso afeta
Usuários que executam a API Docker do crawl4ai sem autenticação ou restrições de rede, especialmente aqueles que expõem a API a redes não confiáveis.
O que fazer hoje
Atualize para a versão 0.9.0 ou aplique soluções alternativas: ative a autenticação, restrinja o acesso à API ou limite a saída de rede do contêiner.
A esteira
Coletado→
Auditado→
Redigido→
Publicado