کشف آسیب پذیری در ArchiveBox

آسیب‌پذیری CVE-2026-42601 یک نقص بحرانی از نوع Remote Code Execution در سامانه ArchiveBox است. ArchiveBox یک ابزار متن‌باز و Self-hosted برای آرشیو صفحات وب و محتوای آنلاین است. این آسیب‌پذیری در endpoint،  `/add/` قرار دارد.  در این آسیب‌پذیری، endpoint مربوط به افزودن آرشیو، فیلد JSON با نام `config` را دریافت کرده و بدون اعتبارسنجی کافی با تنظیمات crawl ادغام می‌کند. این تنظیمات هنگام اجرای pluginهای آرشیو به‌صورت متغیرهای محیطی در اختیار ابزارهای جانبی قرار می‌گیرند و مهاجم می‌تواند از این مسیر آرگومان‌های دلخواه را به ابزارهایی مانند `yt-dlp` تزریق کند و به اجرای کد روی سرور برسد.

طبق GitHub Advisory، در صورتی که گزینه `PUBLIC_ADD_VIEW=True` فعال باشد، بهره‌برداری از این آسیب‌پذیری بدون احراز هویت نیز ممکن است. همچنین مسیر آسیب‌پذیر با `csrf_exempt` مشخص شده است.

محصولات تحت تأثیر

• ArchiveBox نسخه‌های 0.8.6 rc0 و قبل از آن

توصیه‌های امنیتی

با توجه به امکان اجرای کد از راه دور، مدیران سامانه‌هایی که از ArchiveBox استفاده می‌کنند باید وضعیت نسخه نصب‌شده و نحوه دسترسی به endpoint `/add/` را فوراً بررسی کنند.

تا زمان انتشار و نصب نسخه اصلاح‌شده، توصیه می‌شود قابلیت `PUBLIC_ADD_VIEW` غیرفعال شود، دسترسی عمومی به مسیر `/add/` محدود گردد و این سرویس فقط از طریق شبکه داخلی یا VPN در دسترس باشد.

همچنین لازم است لاگ‌های مربوط به درخواست‌های ارسال‌شده به `/add/` و اجرای ابزارهای جانبی مانند `yt-dlp` و `gallery-dl` برای شناسایی رفتار مشکوک بررسی شود.

منابع خبر

https://github.com/advisories/GHSA-3h23-7824-pj8r

https://github.com/ArchiveBox/ArchiveBox/security/advisories/GHSA-3h23-7824-pj8r

https://advisories.gitlab.com/pypi/archivebox/CVE-2026-42601/