| タイトル | Kidocode Sdn BhdのCrawl4AIにおけるハードコードされた認証情報の使用に関する脆弱性 |
|---|---|
| 概要 | Crawl4AI 0.8.7より前のバージョンには、Docker APIサーバーにハードコーディングされたデフォルトのJWT署名キーが原因で認証バイパスの脆弱性があります。攻撃者がこのデフォルトキーを知っている場合、任意のユーザーの有効な認証トークンを偽造できるため、認証を回避して保護された機能に完全にアクセスできる可能性があります。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月21日0:00 |
| 登録日 | 2026年6月29日11:10 |
| 最終更新日 | 2026年6月29日11:10 |
| CVSS3.0 : 緊急 | |
| スコア | 9.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Kidocode Sdn Bhd |
| Crawl4AI 0.8.7 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
2026年6月29日11:10 |
| 概要 | Crawl4AI before 0.8.7 contains an authentication bypass vulnerability due to a hardcoded default JWT signing key in the Docker API server. Attackers who know the default key can forge valid authentication tokens for any user, bypassing authentication and gaining full access to protected functionality. |
|---|---|
| 公表日 | 2026年6月21日23:16 |
| 登録日 | 2026年6月27日4:08 |
| 最終更新日 | 2026年6月26日22:52 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:kidocode:crawl4ai:*:*:*:*:*:*:*:* | 0.8.7 | ||||