Over 12 millioner smarthus-huber, industrisensorer og medisinsk utstyr er rammet av CVE-2026-4321, en kritisk sårbarhet i CrewAI-rammeverket. SecurityWeek bekreftet feilen 11. april 2026. Alle versjoner fra v2.1.0 til v2.3.4 er berørt.
Feilen ligger i SDKets parse_payload()-funksjon, som konverterer JSON-strenger direkte til kjørbare Python-objekter via eval() uten skjemavalidering. En angriper trenger bare å sende et ondsinnet JSON-objekt til enhetens API-endepunkt for å oppnå full kodekjøring.
«Minst 17 bekreftede kompromitteringer» — CISA, advisory AD26-123A
CISA melder at sårbarheten har vært aktivt utnyttet siden 25. mars 2026, primært mot industrielle kontrollsystemer i helse- og produksjonssektoren. Angripere har installert persistente bakdører i bygningsautomasjon for å få tilgang til HVAC-systemer og sikkerhetskameraer.
CrewAI slapp patch v2.3.5 den 10. april med streng JSON-skjemavalidering via jsonschema-biblioteket. Problemet er at mange IoT-enheter mangler OTA-oppdatering. Forrester estimerer at 38 % av berørte enheter forblir upatchet etter mai 2026.
Hva bør du gjøre?
- Oppdater CrewAI SDK til v2.3.5 eller nyere
- Segmenter nettverket for berørte IoT-enheter
- Overvåk utgående trafikk mot kjente ondsinnede IP-er (CISA lister 185.220.10.122)