El framework de orquestación de agentes IA no valida URLs, rutas de archivos ni mantiene aislamiento Docker. No existe parche completo para las fallas encadenables descubiertas por Cyata.
El CERT Coordination Center de Carnegie Mellon publicó este domingo un advisory que detalla cuatro vulnerabilidades en CrewAI, un framework de código abierto ampliamente utilizado para orquestar sistemas multi-agente de inteligencia artificial. Las fallas, identificadas como CVE-2026-2275, CVE-2026-2286, CVE-2026-2287 y CVE-2026-2285, permiten a un atacante ejecutar código remoto, realizar lecturas arbitrarias de archivos locales y explotar server-side request forgery (SSRF) para acceder a servicios internos y de nube.
El investigador Yarden Porat, de la firma de seguridad Cyata, descubrió el conjunto de vulnerabilidades que pueden encadenarse mediante inyección de prompts directa o indirecta.
La vulnerabilidad más crítica, CVE-2026-2275, radica en el Code Interpreter Tool de CrewAI. Esta herramienta está diseñada para ejecutar código Python dentro de un contenedor Docker aislado, pero cuando Docker no está disponible, el sistema hace un fallback silencioso hacia SandboxPython. Este entorno alternativo permite la ejecución de llamadas a funciones C arbitrarias a través del módulo ctypes, que no está bloqueado en la configuración predeterminada. Un atacante que logre inyectar instrucciones maliciosas en un agente con allow_code_execution=True habilitado puede aprovechar este comportamiento para escapar del sandbox y ejecutar código en el host subyacente.
Las otras tres vulnerabilidades complementan el vector de ataque. CVE-2026-2285, con una puntuación CVSS v3 de 7.5, afecta la herramienta JSON loader, que lee archivos sin validar las rutas proporcionadas. Esto permite a un adversario acceder a cualquier archivo del servidor, incluyendo credenciales y configuraciones sensibles.
CVE-2026-2286 es una falla SSRF en las herramientas de búsqueda RAG, que no validan las URLs proporcionadas en tiempo de ejecución, permitiendo el acceso a metadata services de nube y servicios internos. Finalmente, CVE-2026-2287 expone que CrewAI no verifica continuamente si Docker sigue activo durante la ejecución: si el contenedor cae a mitad de sesión, el sistema revierte silenciosamente al modo sandbox inseguro.
El impacto real depende de la configuración del despliegue. En hosts con Docker operativo, un atacante puede lograr un escape del sandbox con ejecución de código limitada. En configuraciones "unsafe mode" o sin Docker, el resultado es ejecución de código remota completa con control total del dispositivo. El vector de entrada es la manipulación del agente mediante prompt injection, una técnica cada vez más relevante en el ecosistema de IA generativa donde los límites entre instrucciones legítimas y maliciosas se difuminan.
Hasta el momento de publicación, no existe un parche completo que resuelva las cuatro vulnerabilidades. CrewAI ha reconocido las fallas y anunció planes para agregar ctypes y módulos relacionados a la lista de bloqueados, implementar un comportamiento "fail closed" en lugar del fallback abierto, mostrar advertencias más claras cuando el sandbox está activo y mejorar la documentación de seguridad.
Mientras tanto, los administradores deben desactivar el Code Interpreter Tool, evitar habilitar allow_code_execution=True salvo que sea estrictamente necesario, sanitizar todas las entradas no confiables y monitorear la disponibilidad de Docker para prevenir la caída al modo sandbox vulnerable. Equipos de seguridad con despliegues productivos de CrewAI deben priorizar estas mitigaciones de inmediato.
FUENTE ORIGINAL
CERT/CC↗CURADO POR
Alejandro Vargas