Die erste der Lücken, geführt als CVE-2026-2275, entsteht dadurch, dass das Code-Interpreter-Tool auf SandboxPython zurückfällt, wenn es nicht auf Docker zugreifen kann. Ist in der Agentenkonfiguration ein Flag gesetzt, das die Codeausführung aktiviert, oder fügt ein Entwickler das Tool manuell hinzu, kann dieses Verhalten laut einer Mitteilung des CERT/CC zur Codeausführung über beliebige C-Funktionsaufrufe führen.
Eine erfolgreiche Ausnutzung dieser Schwachstelle eröffnet den Zugriff auf die übrigen drei Fehler, die auf unsicheren Standardkonfigurationen beruhen. CVE-2026-2286 ist eine Server-Side-Request-Forgery-Lücke (SSRF), über die Angreifer Inhalte von internen und Cloud-Diensten abrufen können. Sie besteht, weil die RAG-Suchwerkzeuge zur Laufzeit übergebene URLs nicht ordnungsgemäß prüfen.
CVE-2026-2287 entsteht, weil CrewAI zur Laufzeit nicht zuverlässig kontrolliert, ob Docker noch läuft, und stattdessen auf eine Sandbox-Einstellung zurückfällt, die Remote-Code-Execution ermöglicht. CVE-2026-2285 schließlich ist ein Fehler beim beliebigen Lesen lokaler Dateien im JSON-Loader-Tool, das beim Einlesen von Dateien keine Pfade validiert und so Zugriff auf beliebige Dateien des Servers erlaubt.
Die vier Schwachstellen lassen sich verketten, indem ein Angreifer einen CrewAI-Agenten beeinflusst, der das Code-Interpreter-Tool nutzt – über direkte oder indirekte Prompt Injection. In der Folge ist es möglich, aus der Sandbox auszubrechen und Code auf der Host-Maschine auszuführen, Dateien aus deren Dateisystem zu lesen oder Zugangsdaten zu entwenden.
Ein Patch, der die Schwachstellen vollständig behebt, ist bislang nicht erschienen. Die Maintainer von CrewAI arbeiten nach eigenen Angaben an Lösungen: Sie wollen bestimmte Module blockieren, die Konfiguration so ändern, dass sie im Fehlerfall abriegelt statt zurückzufallen, deutlichere Laufzeitwarnungen ausgeben und die sicherheitsbezogene Dokumentation aktualisieren.
Zur Eindämmung empfiehlt sich, das Code-Interpreter-Tool zu entfernen oder einzuschränken, das Flag zur Codeausführung nur bei Bedarf zu aktivieren, Agenten möglichst wenig nicht vertrauenswürdigen Eingaben auszusetzen, Eingaben zu bereinigen und den Rückfall auf unsichere Sandbox-Modi zu unterbinden.
