Die Schwachstelle betrifft das JSON-Ladewerkzeug (JSON Loader Tool) von CrewAI. Dieses Werkzeug öffnet und liest JSON-Dateien anhand eines übergebenen Dateipfads, prüft diesen Pfad jedoch nicht – es findet keine Validierung statt, die den Zugriff auf einen erlaubten Bereich einschränken würde. Dadurch lässt sich der Pfad so manipulieren, dass beliebige lokale Dateien auf dem Server gelesen werden, auch solche außerhalb des eigentlich vorgesehenen Verzeichnisses. Ein Angreifer kann auf diese Weise an Dateiinhalte gelangen, die ihm nicht zugänglich sein sollten – etwa Konfigurationsdateien oder andere Daten, die auf dem System liegen. Es handelt sich um einen lesenden Zugriff auf das Dateisystem (arbitrary local file read), nicht um eine Veränderung von Dateien. Betroffen ist jede Umgebung, in der dieses Ladewerkzeug von CrewAI eingesetzt wird und ein steuerbarer Pfad in die Dateiverarbeitung gelangt.