Kostenlos scannen
HIGHCVE-2026-5320CVSS 7.3

vanna-ai vanna Chat API Endpoint v2 fehlende Authentifizierung

Plattform

python

Komponente

vanna-ai/vanna

Behoben in

2.0.1

2.0.2

2.0.3

AI Confidence: highNVDEPSS 0.1%Geprüft: Mai 2026
Auf NVD ansehen
Speichern

CVE-2026-5320 describes a missing authentication vulnerability within the Chat API Endpoint of vanna-ai's vanna, impacting versions up to 2.0.2. This flaw allows for remote manipulation, potentially granting unauthorized access due to the absence of proper authentication mechanisms. Versions 2.0.0 to 2.0.2 of vanna are known to be affected. Currently, there is no official patch available to address this vulnerability.

Python

Erkenne diese CVE in deinem Projekt

Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.

requirements.txt hochladenUnterstützte Formate: requirements.txt · Pipfile.lock

Auswirkungen und Angriffsszenarien

Eine kritische Schwachstelle wurde in vanna-ai vanna bis zur Version 2.0.2 identifiziert, die mit einem CVSS-Wert von 7.3 bewertet wird. Dieser Sicherheitsfehler betrifft die Chat-API, insbesondere den Endpunkt /api/vanna/v2/, und ermöglicht eine Umgehung der Authentifizierung. Das bedeutet, dass ein Angreifer geschützte Funktionen ohne gültige Anmeldedaten nutzen könnte. Die Ausnutzung erfolgt remote, was das Risiko erheblich vergrößert, da sie von überall mit Netzwerkzugang initiiert werden kann. Die Schwere der Situation wird dadurch verstärkt, dass der Exploit jetzt öffentlich ist, was seine Nutzung durch böswillige Akteure erleichtert. Es ist wichtig zu beachten, dass der Anbieter auf frühzeitige Benachrichtigungen über diese Schwachstelle nicht reagiert hat, was die Verfügbarkeit einer offiziellen Lösung behindert.

Ausnutzungskontext

Die Schwachstelle befindet sich im Endpunkt /api/vanna/v2/ der Chat-API von vanna-ai. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er sorgfältig gestaltete Anfragen sendet, die Authentifizierungsmechanismen umgehen. Die Remote-Natur der Ausnutzung bedeutet, dass kein physischer Zugriff auf das betroffene System erforderlich ist. Die öffentliche Veröffentlichung des Exploits erleichtert die Replikation des Angriffs und erhöht das Risiko, dass er von einer Vielzahl von Angreifern verwendet wird, von technisch versierten Personen bis hin zu organisierten Gruppen. Das Ausbleiben einer Reaktion des Anbieters verschärft die Situation, da es keine offizielle Lösung gibt, um sich vor dieser Bedrohung zu schützen.

Wer Ist Gefährdetwird übersetzt…

Organizations utilizing vanna-ai vanna in production environments, particularly those exposing the /api/vanna/v2/ endpoint to external networks, are at significant risk. Shared hosting environments where multiple users share the same vanna-ai vanna instance are also vulnerable, as a compromise of one user could potentially lead to the compromise of others.

Erkennungsschrittewird übersetzt…

• python / server:

import requests
import json

url = 'http://your-vanna-server/api/vanna/v2/'

try:
    response = requests.get(url, headers={'Authorization': 'Bearer '})
    response.raise_for_status()
    data = response.json()
    print(f"Response: {data}")
except requests.exceptions.HTTPError as e:
    print(f"Error: {e}")
except Exception as e:
    print(f"An unexpected error occurred: {e}")

• generic web:

curl -I http://your-vanna-server/api/vanna/v2/ | grep -i 'WWW-Authenticate'

Angriffszeitlinie

  1. Disclosure

    disclosure

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

EPSS

0.10% (27% Perzentil)

CISA SSVC

Ausnutzungpoc
Automatisierbaryes
Technische Auswirkungpartial

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R7.3HIGHAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityLowRisiko der Offenlegung sensibler DatenIntegrityLowRisiko nicht autorisierter DatenänderungAvailabilityLowRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Niedrig — partieller oder indirekter Zugriff auf einige Daten.
Integrity
Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
Availability
Niedrig — partieller oder intermittierender Denial of Service.

Betroffene Software

Komponentevanna-ai/vanna
Herstellervanna-ai
Betroffener BereichBehoben in
2.0.0 – 2.0.02.0.1
2.0.1 – 2.0.12.0.2
2.0.2 – 2.0.22.0.3

Schwachstellen-Klassifikation (CWE)

CWE-306CWE-287

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. EPSS aktualisiert
Kein Patch — 52 Tage seit Offenlegung

Mitigation und Workarounds

Da der Anbieter keinen Fix bereitgestellt hat, ist eine sofortige Abschwächung entscheidend. Wir empfehlen dringend, auf eine spätere Version von vanna-ai zu aktualisieren, sobald sie verfügbar ist. In der Zwischenzeit sollten zusätzliche Sicherheitsmaßnahmen implementiert werden, um das System zu schützen. Dies kann die Netzwerksegmentierung umfassen, um den Zugriff auf den anfälligen Endpunkt zu beschränken, die Implementierung von Firewalls mit restriktiven Regeln und die kontinuierliche Überwachung der Netzwerkaktivität auf Anzeichen einer Ausnutzung. Darüber hinaus sollten API-Zugriffsberechtigungen überprüft und verstärkt werden, um die potenziellen Auswirkungen einer erfolgreichen Ausnutzung zu minimieren. Das Ausbleiben einer Reaktion des Anbieters unterstreicht die Bedeutung eines robusten Incident-Response-Plans.

So beheben

Aktualisieren Sie die Bibliothek vanna-ai/vanna auf eine Version nach 2.0.2. Dies behebt das Fehlen von Authentifizierung im Chat v2 API Endpoint.

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragen

Was ist CVE-2026-5320 in vanna?

Es bedeutet, dass ein Angreifer auf Funktionen oder Daten zugreifen kann, die durch einen Anmeldevorgang oder einen Identitätsverifizierungsprozess geschützt sein sollten.

Bin ich von CVE-2026-5320 in vanna betroffen?

Die öffentliche Veröffentlichung des Exploits bedeutet, dass jeder ihn verwenden kann, um anfällige Systeme anzugreifen, was das Risiko erheblich erhöht.

Wie behebe ich CVE-2026-5320 in vanna?

Implementieren Sie zusätzliche Sicherheitsmaßnahmen wie Netzwerksegmentierung, Firewalls und Netzwerkaktivitätsüberwachung.

Wird CVE-2026-5320 aktiv ausgenutzt?

Ja, der Anbieter wurde benachrichtigt, hat aber bisher nicht geantwortet.

Wo finde ich den offiziellen vanna-Hinweis für CVE-2026-5320?

Konsultieren Sie die CVE-Datenbank (Common Vulnerabilities and Exposures) für CVE-2026-5320.

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen