Plateforme
python
Composant
vanna
Corrigé dans
2.0.1
2.0.2
2.0.3
CVE-2026-5321 est une vulnérabilité de type Cross-Site Scripting (XSS) affectant vanna-ai vanna jusqu'à la version 2.0.2. Cette faille permet une politique cross-domain permissive avec des domaines non fiables, rendant possible une attaque à distance. L'exploitation de cette vulnérabilité a été rendue publique. Aucun correctif n'est actuellement disponible.
Une vulnérabilité critique a été découverte dans vanna-ai vanna jusqu'à la version 2.0.2, affectant une fonctionnalité inconnue au sein du serveur FastAPI/Flask. Cette faille permet la configuration d'une politique de cross-origin permissive, ce qui pourrait permettre à des domaines non fiables d'accéder à des données sensibles ou d'effectuer des actions non autorisées. La vulnérabilité peut être exploitée à distance, augmentant considérablement le risque. La publication d'un exploit public aggrave la situation, car elle facilite son utilisation par les attaquants. Le manque de réponse du fournisseur aux notifications de divulgation anticipées est préoccupant et entrave les efforts de remédiation.
La publication d'un exploit fonctionnel pour CVE-2026-5321 augmente considérablement le risque d'exploitation. Les attaquants disposent désormais d'un outil éprouvé pour exploiter cette vulnérabilité. La nature à distance de l'exploitation signifie que les systèmes exposés à Internet sont particulièrement vulnérables. Le manque de réponse du fournisseur suggère qu'aucune correction immédiate n’est disponible, ce qui rend l’atténuation encore plus critique. Les administrateurs système sont invités à évaluer l’exposition de leurs systèmes et à prendre des mesures immédiates pour les protéger.
Organizations deploying vanna-ai vanna in production environments, particularly those with sensitive data or exposed APIs, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromise of one user's environment could potentially impact others.
• python / server:
# Check for vanna-ai vanna version
pip show vanna-ai-vanna• generic web:
# Check for CORS misconfiguration using curl
curl -I https://your-vanna-ai-vanna-instance/ # Look for Access-Control-Allow-Origin: *disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 0%)
CISA SSVC
Vecteur CVSS
Étant donné le manque de solution fournie par le fournisseur, une atténuation immédiate est cruciale. Il est fortement recommandé de mettre à niveau vers une version ultérieure de vanna-ai dès qu'elle est disponible. En attendant, des mesures de sécurité supplémentaires peuvent être mises en œuvre, telles que la restriction de l'accès à l'API via des pare-feu et la mise en liste blanche de domaines de confiance. La surveillance active des journaux du serveur à la recherche d'activités suspectes est essentielle pour détecter et répondre aux attaques potentielles. Envisagez de désactiver temporairement la fonctionnalité affectée si elle n'est pas essentielle aux opérations. La mise en œuvre d'une Politique de sécurité du contenu (CSP) stricte peut aider à atténuer le risque d'attaques cross-origin.
Actualice la biblioteca vanna-ai vanna a una versión posterior a 2.0.2. Esto solucionará la política de dominio cruzado permisiva con dominios no confiables. Consulte la documentación del proveedor para obtener instrucciones específicas sobre cómo actualizar la biblioteca.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela signifie que le serveur autorise les requêtes provenant de n'importe quel domaine sans vérifier s'ils sont dignes de confiance, ce qui peut permettre aux attaquants d'accéder à des informations ou d'effectuer des actions non autorisées.
Si vous utilisez vanna-ai vanna version 2.0.2 ou antérieure, vous êtes probablement affecté. Examinez les journaux de votre serveur à la recherche d'activités inhabituelles.
Déconnectez immédiatement le système du réseau et effectuez une enquête médico-légale pour déterminer l'étendue du compromis. Consultez un expert en sécurité.
Restreindre l'accès à l'API via des pare-feu et la mise en liste blanche de domaines de confiance peut aider à atténuer le risque.
Le manque de réponse du fournisseur est préoccupant et entrave les efforts de remédiation. Surveillez la situation et recherchez des mises à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.