प्लेटफ़ॉर्म
python
घटक
vanna
में ठीक किया गया
2.0.1
2.0.2
2.0.3
CVE-2026-5321, vanna-ai vanna के 2.0.0 से 2.0.2 संस्करणों में मौजूद एक भेद्यता है। इस भेद्यता के कारण, एक हमलावर FastAPI/Flask Server के माध्यम से क्रॉस-डोमेन पॉलिसी में हेरफेर कर सकता है, जिससे सुरक्षा जोखिम उत्पन्न हो सकता है। प्रभावित संस्करण 2.0.0 से 2.0.2 हैं। वर्तमान में, इस समस्या के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
vanna-ai vanna के संस्करण 2.0.2 और उससे पहले में एक गंभीर भेद्यता पाई गई है, जो FastAPI/Flask सर्वर में एक अज्ञात कार्यक्षमता को प्रभावित करती है। यह दोष एक अनुमत क्रॉस-ओरिजिन नीति को कॉन्फ़िगर करने की अनुमति देता है, जिससे अविश्वसनीय डोमेन संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं या अनधिकृत क्रियाएं कर सकते हैं। इस भेद्यता का दूरस्थ रूप से शोषण किया जा सकता है, जिससे जोखिम काफी बढ़ जाता है। एक शोषण के सार्वजनिक प्रकाशन से स्थिति और खराब हो जाती है, क्योंकि यह हमलावरों के लिए इसका उपयोग करना आसान बना देता है। प्रारंभिक प्रकटीकरण सूचनाओं पर विक्रेता की प्रतिक्रिया की कमी चिंताजनक है और निवारण के प्रयासों में बाधा डालती है।
CVE-2026-5321 के लिए एक कार्यात्मक शोषण के सार्वजनिक प्रकाशन से शोषण का जोखिम काफी बढ़ जाता है। हमलावरों के पास अब इस भेद्यता का लाभ उठाने के लिए एक सिद्ध उपकरण है। शोषण की दूरस्थ प्रकृति का मतलब है कि इंटरनेट पर उजागर सिस्टम विशेष रूप से कमजोर हैं। विक्रेता की प्रतिक्रिया की कमी से पता चलता है कि कोई तत्काल फिक्स उपलब्ध नहीं है, जिससे शमन और भी महत्वपूर्ण हो जाता है। सिस्टम प्रशासकों को अपने सिस्टम के एक्सपोजर का आकलन करने और उनकी सुरक्षा के लिए तत्काल कदम उठाने के लिए प्रोत्साहित किया जाता है।
Organizations deploying vanna-ai vanna in production environments, particularly those with sensitive data or exposed APIs, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as a compromise of one user's environment could potentially impact others.
• python / server:
# Check for vanna-ai vanna version
pip show vanna-ai-vanna• generic web:
# Check for CORS misconfiguration using curl
curl -I https://your-vanna-ai-vanna-instance/ # Look for Access-Control-Allow-Origin: *disclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (0% शतमक)
CISA SSVC
CVSS वेक्टर
चूंकि विक्रेता ने कोई समाधान प्रदान नहीं किया है, इसलिए तत्काल शमन महत्वपूर्ण है। जैसे ही यह उपलब्ध हो, vanna-ai के नए संस्करण में अपग्रेड करने की जोरदार सिफारिश की जाती है। इस बीच, अतिरिक्त सुरक्षा उपायों को लागू किया जा सकता है, जैसे कि फ़ायरवॉल के माध्यम से API एक्सेस को प्रतिबंधित करना और विश्वसनीय डोमेन को श्वेतसूची में जोड़ना। संभावित हमलों का पता लगाने और उनका जवाब देने के लिए सर्वर लॉग की सक्रिय रूप से निगरानी करना आवश्यक है। यदि यह संचालन के लिए आवश्यक नहीं है तो प्रभावित कार्यक्षमता को अस्थायी रूप से अक्षम करने पर विचार करें। एक सख्त सामग्री सुरक्षा नीति (CSP) को लागू करने से क्रॉस-ओरिजिन हमलों के जोखिम को कम करने में मदद मिल सकती है।
Actualice la biblioteca vanna-ai vanna a una versión posterior a 2.0.2. Esto solucionará la política de dominio cruzado permisiva con dominios no confiables. Consulte la documentación del proveedor para obtener instrucciones específicas sobre cómo actualizar la biblioteca.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
इसका मतलब है कि सर्वर यह सत्यापित किए बिना कि वे विश्वसनीय हैं, किसी भी डोमेन से अनुरोधों की अनुमति देता है, जिससे हमलावरों को जानकारी तक पहुंचने या अनधिकृत क्रियाएं करने की अनुमति मिल सकती है।
यदि आप vanna-ai vanna संस्करण 2.0.2 या उससे पहले का उपयोग कर रहे हैं, तो आप संभवतः प्रभावित हैं। अपने सर्वर लॉग की जांच करें कि क्या कोई असामान्य गतिविधि है।
तुरंत अपने सिस्टम को नेटवर्क से डिस्कनेक्ट करें और उल्लंघन की सीमा निर्धारित करने के लिए फोरेंसिक जांच करें। एक सुरक्षा विशेषज्ञ से परामर्श करें।
फ़ायरवॉल के माध्यम से API एक्सेस को प्रतिबंधित करना और विश्वसनीय डोमेन को श्वेतसूची में जोड़ना जोखिम को कम करने में मदद कर सकता है।
विक्रेता की प्रतिक्रिया की कमी चिंताजनक है और निवारण के प्रयासों में बाधा डालती है। स्थिति की निगरानी करें और अपडेट की तलाश करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।