漏洞总结:CrewAI 多重漏洞 (VU#221883) 漏洞概述 该公告指出 CrewAI 框架中存在四个主要安全漏洞,包括远程代码执行 (RCE)、任意本地文件读取和服务器端请求伪造 (SSRF)。 CVE-2026-2275 (RCE): Code Interpreter Tool 在无法连接 Docker 时会回退到 SandboxPython,允许通过任意 C 函数调用来执行代码。若启用 或手动添加该工具,可被触发。 CVE-2026-2286 (SSRF): 存在服务器端请求伪造漏洞,RAG 搜索工具未正确验证 URL,导致可从内部和云服务获取内容。 CVE-2026-2287 (RCE): 未正确检查 Docker 是否在运行时运行。若 Docker 不可用,会回退到允许 RCE 的沙箱设置。 CVE-2026-2285 (文件读取): JSON loader 工具中存在任意本地文件读取漏洞,读取文件时缺乏路径验证,允许访问服务器上的文件。 影响范围 攻击者可通过直接或直接提示注入利用上述四个漏洞。攻击结果取决于代理配置或主机状态: 可能实现沙箱绕过 (sandbox bypass)。 若主机正在使用 Docker,可能导致 RCE 或文件读取。 若主机处于配置模式或不安全模式,可能导致完整的 RCE。 攻击者可利用任意文件读取和 SSRF 进行凭证窃取,或利用 RCE 进一步利用受损设备。 修复方案 厂商计划采取的措施: 将 及相关模块添加到 中。 评估配置更改,使其比回退到沙箱模式更严格。 在沙箱模式激活时提供更清晰的运行时警告。 改进安全相关文档。 临时缓解措施 (在补丁发布前): 尽可能移除或禁用 Code Interpreter Tool。 除非绝对必要,否则移除或避免启用 设置。 限制代理对未信任输入或沙箱输入的暴露。 监控 Docker 可用性并防止回退到不安全的沙箱模式。