Vulnerabilidad en Firecrawl (CVE-2024-56800)

Firecrawl es un raspador web que permite a los usuarios extraer el contenido de una página web para un modelo de lenguaje grande. Las versiones anteriores a 1.1.1 contienen una vulnerabilidad de server-side request forgery (SSRF). El motor de raspado podría explotarse creando un sitio malicioso que redirija a una dirección IP local. Esto permitió la exfiltración de recursos de la red local a través de la API. El servicio en la nube fue parcheado el 27 de diciembre de 2024 y los mantenedores han comprobado que ningún dato de usuario fue expuesto por esta vulnerabilidad. Los motores de raspado utilizados en la versión de código abierto de Firecrawl fueron parcheados el 29 de diciembre de 2024, excepto los servicios de dramaturgo que los mantenedores han determinado que no se pueden parchear. Todos los usuarios de Firecrawl de software de código abierto (OSS) deben actualizar a v1.1.1. Como workaround, los usuarios de Firecrawl de OSS deben proporcionar a los servicios de dramaturgo un proxy seguro. Se puede especificar un proxy a través del entorno `PROXY_SERVER` en las variables de entorno. Consulte la documentación para obtener instrucciones. Asegúrese de que el servidor proxy que está utilizando esté configurado para bloquear todo el tráfico que se dirija a direcciones IP locales del enlace.