LLM向けのWebクローラであるCrawl4AIに、3件の脆弱性(CVE)が公表されました。影響範囲と修正版、CVEの一覧をまとめて確認できるように整理します。
Crawl4AIの複数脆弱性 3行まとめ
今回公表された脆弱性の要点を、先に3点にまとめました。
- Crawl4AIに3件の脆弱性が公表
- 最大はCVSS10.0のコードインジェクション
- 修正版0.9.0で3件をまとめて解消
本記事の確認・更新手順は一般的な例です。実際の対応は、利用している構成や依存関係、権限設定、運用ルールによって異なります。
作業の前に必ずバックアップを取得し、検証環境で影響を確認したうえで、各自の責任で実施してください。
影響を受けるCrawl4AIのバージョンと修正版
今回の脆弱性群が影響するバージョンと、修正版は次の通りです。個別の境界は各アドバイザリで確認してください。
| 項目 | 内容 |
|---|---|
| 影響バージョン | 0.9.0より前(修正版0.9.0未満) |
| 修正版 | 0.9.0 |
Crawl4AIで公表された脆弱性一覧(CVE 3件)
今回まとめて公表された3件のCVEを一覧にしました。深刻度は評価主体により差が出る場合があるため、両者を併記しています。
| CVE番号 | 深刻度(CVSS) | 種類 | 概要 | 影響版 | 修正版 |
|---|---|---|---|---|---|
CVE-2026-57571 |
JVNDB=9.6(Critical)/ベンダ公式=9.6(Critical) | CWE-22 | パス・トラバーサル | 0.9.0より前 | 0.9.0 |
CVE-2026-57572 |
JVNDB=10.0(Critical)/ベンダ公式=10(Critical) | CWE-94 | コードインジェクション | 0.9.0より前 | 0.9.0 |
CVE-2026-57573 |
JVNDB=8.6(High)/ベンダ公式=8.6(High) | CWE-918 | サーバサイドのリクエストフォージェリ | 0.9.0より前 | 0.9.0 |
Crawl4AIの3件の脆弱性の内容
3件はそれぞれ種類が異なります。CWEの分類ごとに、想定される影響を整理しました。
パス・トラバーサル(CVE-2026-57571)
CVE-2026-57571は、CWE-22に分類されるパス・トラバーサルの脆弱性です。想定外のパス操作により、本来アクセスできない範囲のファイルが操作される恐れがあります。
悪用の前提や対象となる範囲は、公開済みのアドバイザリに記載されています。適用可否は各自の構成で確認してください。
コードインジェクション(CVE-2026-57572)
CVE-2026-57572は、CWE-94に分類されるコードインジェクションの脆弱性です。3件のうち最も高いCVSS10.0が、JVNDBとベンダ公式の双方で付与されています。
任意のコードが実行される恐れがあり、影響は広範に及びます。3件の中でも修正版への更新を最優先すべき対象です。
サーバサイドのリクエストフォージェリ(CVE-2026-57573)
CVE-2026-57573は、CWE-918に分類されるSSRFの脆弱性です。SSRFは外部から指定したURLへ、サーバに意図しない通信をさせる手口を指します。
Webページを取得するクローラは、この種の影響を受けやすい構造です。内部ネットワークへの到達可否は構成により変わります。
Crawl4AIを修正版へ更新する対応手順
対象バージョンを利用している場合の対応を、優先度の高い順にまとめました。
- 利用中のCrawl4AIのバージョンを
pip show crawl4aiで表示し、本記事の影響バージョンの表と照合して確認する - 影響コンポーネントや機能を実際に使用しているかを、各CVEのアドバイザリ(References)が示す対象と利用中のコードや設定を照合して確認する
- 公式アドバイザリに従って修正版0.9.0へ更新する
- 直ちに更新できない場合は各CVEのアドバイザリが示す回避策を適用する
複数のCVEがまとめて修正されているため、修正版への更新で3件にまとめて対応できます。
trends編集部の一言
今回のように同一製品で複数のCVEが同時に公表される場合でも、修正版が用意されていれば1回の更新でまとめて対応できます。今回の3件はいずれも0.9.0で解消されました。
まずは依存関係に含まれるか、影響コンポーネントを使っているかの確認から始めると、対応の優先度を判断しやすくなります。
References
- ^ JVNDB. 「Kidocode Sdn BhdのCrawl4AIにおける複数の脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022815.html, (参照 26-07-10).
- ^ JVNDB. 「Kidocode Sdn BhdのCrawl4AIにおける複数の脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022814.html, (参照 26-07-10).
- ^ JVNDB. 「Kidocode Sdn BhdのCrawl4AIにおけるサーバサイドのリクエストフォージェリの脆弱性」. https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-022813.html, (参照 26-07-10).
- ^ ベンダ公式. 「Crawl4AI Security Advisory GHSA-2jq4-q6vv-4cp3(CVE-2026-57571)」. https://github.com/unclecode/crawl4ai/security/advisories/GHSA-2jq4-q6vv-4cp3, (参照 26-07-10).
- ^ ベンダ公式. 「Crawl4AI Security Advisory GHSA-r253-r9jw-qg44(CVE-2026-57572)」. https://github.com/unclecode/crawl4ai/security/advisories/GHSA-r253-r9jw-qg44, (参照 26-07-10).
- ^ ベンダ公式. 「Crawl4AI Security Advisory GHSA-wm69-2pc3-rmmf(CVE-2026-57573)」. https://github.com/unclecode/crawl4ai/security/advisories/GHSA-wm69-2pc3-rmmf, (参照 26-07-10).
※本記事は一次情報(JVNDB・ベンダ公式)を基に編集しています。内容はAIで確認していますが、誤りや最新情報との差異がある場合はコメントよりご報告ください。
※上記コンテンツの内容やソースコードはAIで確認・デバッグしておりますが、間違いやエラー、脆弱性などがある場合は、コメントよりご報告いただけますと幸いです。
ITやプログラミングに関するコラム
【Git】remote設定を変更する方法
【VBA】コメントアウトを設定する方法
マークダウンで改行する方法
【CSS】notで複数の件を除外する方法
x86とx64の違いを分かりやすく解説
GitLabとGitHubの違いを解説
パソコンのメモリの目安を用途別に選ぶ方法
Linuxで環境変数を確認する方法
CapsLockキーを解除する方法
UbuntuのIPアドレスを確認する方法
ITやプログラミングに関するニュース
Apache Camelに深刻度Criticalを含む17件の脆弱性が公表、修正版への更新で対応が必要に
Hugoに5件の脆弱性が公表、修正版0.163.3への更新でまとめて対応可能に
Python Pillowに5件の脆弱性が公表、修正版12.3.0への更新で対応可能に
radare2に4件の脆弱性が公表、修正版6.1.8への更新でまとめて対応可能に
vLLMに4件の脆弱性が公表、修正版0.24.0への更新で対応が可能に
Crawl4AIに3件の脆弱性が公表、修正版0.9.0への更新でまとめて対応が可能に
Apache IoTDBに3件の脆弱性が公表、修正版2.0.8への更新で対応が必要に
pnpmにパストラバーサル脆弱性3件が公表、修正版への更新で対応が必要に
traefikに3件の脆弱性が公表、修正版への更新で対応が必要に
GitHub Copilotがリポジトリ概要機能を一般提供、初めて開くリポジトリの目的や使用技術を即把握
