关键漏洞信息 安全修复 远程代码执行 (RCE) 漏洞 - 严重性: CRITICAL (CVSS 10.0) - 影响: Docker API 部署 (所有 v0.8.0 之前的版本) - 向量: POST /crawl 与恶意的 参数 - 详情: 内置函数在 hook 代码中可用,允许攻击者导入 , 等并执行任意命令。 - 修复: - 从允许的内置函数中移除 - 默认禁用 Hooks ( ) 本地文件包含 (LFI) 漏洞 - 严重性: HIGH (CVSS 8.6) - 影响: Docker API 部署 (所有 v0.8.0 之前的版本) - 向量: POST /execute_js (以及接受 URL 的其他端点) - 详情: API 端点接受 URL,允许攻击者从服务器读取任意文件。 - 修复: URL 方案验证现在仅允许 , , 和 URL。 其他关键信息 发布日期: 2026年1月 版本: v0.8.0 上一版本: v0.7.6 状态: 发布候选版 新特性 init_scripts 支持 BrowserConfig CDP 连接改进 异步爬取策略的崩溃恢复支持 从原始/文件 URL 生成 PDF 和 MHTML 原始/文件 URL 的截图支持 base_url 参数支持 CrawlerRunConfig 深层爬取的预制模式 代理轮换和配置增强 HTTP 策略的代理支持 原始/文件 URL 的浏览器管道支持 智能 TTL 缓存的 sitemap URL 种子器 升级指南 更新包 ( ) Docker API 用户: 默认禁用 Hooks,如有需要请手动启用 查看安全设置,测试集成,检查可能的破坏性更改