説明
Crawl4AI <=0.4.247 is vulnerable to SSRF in /crawl4ai/async_dispatcher.py.
基本情報
- タイプ
- reviewed
- 深刻度
- medium
- GitHub 上のアドバイザリ
- アドバイザリを開く ↗
- リポジトリのアドバイザリ
- —
- ソースコード
- ソースを見る ↗
- 公開(アドバイザリ)
- 2025-04-18 21:31:20 UTC
- 更新
- 2025-04-21 21:54:26 UTC
- GitHub レビュー済み
- 2025-04-21 21:54:24 UTC
- NVD で公開
- 2025-04-18
EPSS Score
| Score |
Percentile |
|
0.29%
|
52.53% |
CVSS Scores
| Base score |
Version |
Severity |
Vector |
|
6.9
|
4.0 |
—
|
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
クリックして展開
- 攻撃ベクター (AV:N)
- インターネットや社内 WAN など、ルーティングされたネットワーク越しに遠隔から踏み台にしうる。
- 攻撃の複雑さ (AC:L)
- 手順が短く、再現性が高い。
- 攻撃要件 (AT:N)
- 到達性以外に、追加のインフラ条件やデータ前提は要らない。
- 必要な権限 (PR:N)
- 昇格やログインなしで踏み台にしうる。
- ユーザーの関与 (UI:N)
- 被害者の操作なしでも攻撃が完結しうる。
- 脆弱システムの機密性への影響 (VC:L)
- 一部のデータや属性が漏えいしうるが、事業全体としては限定的。
- 脆弱システムの完全性への影響 (VI:L)
- レコードや設定の一部が歪められうるが、システム全体の信頼は保たれやすい。
- 脆弱システムの可用性への影響 (VA:N)
- 業務を止めるほどの停止や劣化は想定しにくい。
- 後続システムの機密性への影響 (SC:N)
- 脆弱点を経由して下流の機微情報が読まれうる余地はほとんどない。
- 後続システムの完全性への影響 (SI:N)
- 下流の記録や設定が歪められる局面はほとんど想定されない。
- 後続システムの可用性への影響 (SA:N)
- 下流サービスが止まるほどの影響は想定しにくい。
|
CWEs
| CWE id |
Name |
|
CWE-918
|
Server-Side Request Forgery (SSRF) |
Affected packages (1)
Vulnerable version ranges and first patched releases as published by GitHub.
| Ecosystem |
Package |
Vulnerable range |
First patched |
Vulnerable functions |
| pip |
Crawl4AI |
<= 0.4.247 |
— |
—
|
cvelogic
Threat Intelligence