प्लेटफ़ॉर्म
python
घटक
vanna-ai/vanna
में ठीक किया गया
2.0.1
2.0.2
2.0.3
CVE-2026-5320, vanna-ai vanna के 2.0.2 संस्करण तक में पाई गई एक प्रमाणीकरण भेद्यता है। इस भेद्यता के कारण, हमलावर दूर से प्रमाणीकरण को बायपास कर सकता है। यह भेद्यता Chat API Endpoint को प्रभावित करती है। vanna के 2.0.0 से 2.0.2 संस्करण प्रभावित हैं। फिलहाल, कोई आधिकारिक पैच उपलब्ध नहीं है।
vanna-ai vanna के संस्करण 2.0.2 तक में एक गंभीर भेद्यता की पहचान की गई है, जिसे CVSS स्कोर 7.3 के साथ रेट किया गया है। यह सुरक्षा दोष चैट API को प्रभावित करता है, विशेष रूप से /api/vanna/v2/ एंडपॉइंट, जो प्रमाणीकरण को बायपास करने की अनुमति देता है। इसका मतलब है कि एक हमलावर वैध क्रेडेंशियल्स के बिना संरक्षित कार्यक्षमताओं तक पहुंच सकता है। शोषण दूरस्थ है, जो जोखिम को काफी बढ़ाता है क्योंकि इसे नेटवर्क एक्सेस वाले किसी भी स्थान से शुरू किया जा सकता है। स्थिति की गंभीरता इस तथ्य से बढ़ जाती है कि शोषण अब सार्वजनिक है, जिससे दुर्भावनापूर्ण अभिनेताओं द्वारा इसके उपयोग की सुविधा मिलती है। यह ध्यान रखना महत्वपूर्ण है कि विक्रेता ने इस भेद्यता के बारे में शुरुआती सूचनाओं का जवाब नहीं दिया है, जिससे आधिकारिक फिक्स की उपलब्धता बाधित होती है।
भेद्यता vanna-ai के चैट API के /api/vanna/v2/ एंडपॉइंट में मौजूद है। एक हमलावर इस दोष का फायदा उठाकर सावधानीपूर्वक तैयार किए गए अनुरोध भेज सकता है जो प्रमाणीकरण तंत्र को बायपास करते हैं। शोषण की दूरस्थ प्रकृति का मतलब है कि प्रभावित सिस्टम तक भौतिक पहुंच की आवश्यकता नहीं है। शोषण की सार्वजनिक घोषणा हमले के प्रतिकृति को आसान बनाती है और तकनीकी रूप से कुशल व्यक्तियों से लेकर संगठित समूहों तक, विभिन्न प्रकार के हमलावरों द्वारा इसके उपयोग के जोखिम को बढ़ाती है। विक्रेता की प्रतिक्रिया की कमी स्थिति को बढ़ाती है, क्योंकि इस खतरे के खिलाफ खुद को बचाने के लिए कोई आधिकारिक समाधान नहीं है।
Organizations utilizing vanna-ai vanna in production environments, particularly those exposing the /api/vanna/v2/ endpoint to external networks, are at significant risk. Shared hosting environments where multiple users share the same vanna-ai vanna instance are also vulnerable, as a compromise of one user could potentially lead to the compromise of others.
• python / server:
import requests
import json
url = 'http://your-vanna-server/api/vanna/v2/'
try:
response = requests.get(url, headers={'Authorization': 'Bearer '})
response.raise_for_status()
data = response.json()
print(f"Response: {data}")
except requests.exceptions.HTTPError as e:
print(f"Error: {e}")
except Exception as e:
print(f"An unexpected error occurred: {e}")• generic web:
curl -I http://your-vanna-server/api/vanna/v2/ | grep -i 'WWW-Authenticate'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.10% (27% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि विक्रेता ने कोई फिक्स प्रदान नहीं किया है, इसलिए तत्काल शमन महत्वपूर्ण है। हम जल्द से जल्द vanna-ai के नए संस्करण में अपग्रेड करने की दृढ़ता से अनुशंसा करते हैं। इस बीच, सिस्टम को सुरक्षित रखने के लिए अतिरिक्त सुरक्षा उपायों को लागू किया जाना चाहिए। इसमें कमजोर एंडपॉइंट तक पहुंच को सीमित करने के लिए नेटवर्क सेगमेंटेशन, प्रतिबंधात्मक नियमों को लागू करने वाले फ़ायरवॉल और शोषण के संकेतों के लिए नेटवर्क गतिविधि की निरंतर निगरानी शामिल हो सकती है। इसके अतिरिक्त, सफल शोषण के संभावित प्रभाव को कम करने के लिए API एक्सेस नीतियों की समीक्षा और मजबूत करें। विक्रेता की प्रतिक्रिया की कमी एक मजबूत घटना प्रतिक्रिया योजना होने के महत्व पर प्रकाश डालती है।
लाइब्रेरी vanna-ai/vanna को 2.0.2 से बाद के संस्करण में अपडेट करें। यह चैट API v2 एंडपॉइंट में प्रमाणीकरण की कमी को ठीक करेगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
इसका मतलब है कि एक हमलावर उन कार्यों या डेटा तक पहुंच सकता है जिन्हें लॉगिन या पहचान सत्यापन प्रक्रिया द्वारा संरक्षित किया जाना चाहिए।
शोषण की सार्वजनिक घोषणा का मतलब है कि कोई भी इसका उपयोग कमजोर सिस्टम को हमला करने के लिए कर सकता है, जिससे जोखिम काफी बढ़ जाता है।
नेटवर्क सेगमेंटेशन, फ़ायरवॉल और नेटवर्क गतिविधि निगरानी जैसे अतिरिक्त सुरक्षा उपाय लागू करें।
हाँ, विक्रेता को सूचित किया गया था, लेकिन अभी तक प्रतिक्रिया नहीं दी गई है।
CVE (कॉमन भेद्यताएं और एक्सपोजर) डेटाबेस में CVE-2026-5320 देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।