HIGHCVE-2026-5320CVSS 7.3

CVE-2026-5320: 認証なしアクセス in vanna-ai vanna

プラットフォーム

python

コンポーネント

vanna-ai/vanna

修正版

2.0.1

2.0.2

2.0.3

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5320は、vanna-ai vanna 2.0.2までのChat APIエンドポイントに存在する認証不備の脆弱性です。この脆弱性を悪用することで、攻撃者は認証を回避し、本来アクセスできない機能にアクセスできる可能性があります。影響を受けるのはvanna 2.0.0から2.0.2までのバージョンです。現在、ベンダーから公式なパッチは提供されていません。

影響と攻撃シナリオ

vanna-ai vannaのバージョン2.0.2までにおいて、CVSSスコア7.3の重大な脆弱性が検出されました。このセキュリティ上の欠陥は、チャットAPI、特に/api/vanna/v2/エンドポイントに影響を与え、認証をバイパスすることを可能にします。これは、攻撃者が有効な資格情報なしに保護された機能にアクセスできることを意味します。攻撃はリモートで行われるため、ネットワークアクセス権限を持つどこからでも開始できるため、リスクが大幅に拡大します。脆弱性の公開により、悪意のある攻撃者による悪用の可能性が高まることが、状況をさらに深刻化させています。この脆弱性に関する初期の通知に対するベンダーからの応答がないため、公式な修正が利用できないという事実は重要です。

悪用の状況

この脆弱性は、vanna-aiのチャットAPIの/api/vanna/v2/エンドポイントに存在します。攻撃者は、認証メカニズムを回避するように設計された慎重に作成されたリクエストを送信することで、この欠陥を利用できます。攻撃がリモートで行われるため、影響を受けるシステムへの物理的なアクセスは必要ありません。脆弱性の公開により、攻撃の複製が容易になり、技術的に熟練した個人から組織化されたグループまで、幅広い攻撃者による使用リスクが高まります。ベンダーからの応答がないことは、この脅威に対する保護のための公式ソリューションがないため、状況を悪化させています。

リスク対象者翻訳中…

Organizations utilizing vanna-ai vanna in production environments, particularly those exposing the /api/vanna/v2/ endpoint to external networks, are at significant risk. Shared hosting environments where multiple users share the same vanna-ai vanna instance are also vulnerable, as a compromise of one user could potentially lead to the compromise of others.

検出手順翻訳中…

• python / server:

import requests
import json

url = 'http://your-vanna-server/api/vanna/v2/'

try:
    response = requests.get(url, headers={'Authorization': 'Bearer '})
    response.raise_for_status()
    data = response.json()
    print(f"Response: {data}")
except requests.exceptions.HTTPError as e:
    print(f"Error: {e}")
except Exception as e:
    print(f"An unexpected error occurred: {e}")

• generic web:

curl -I http://your-vanna-server/api/vanna/v2/ | grep -i 'WWW-Authenticate'

攻撃タイムライン

2026-04-02Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.10% (27% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントvanna-ai/vanna

ベンダーvanna-ai

影響範囲修正版

2.0.0 – 2.0.02.0.1

2.0.1 – 2.0.12.0.2

2.0.2 – 2.0.22.0.3

弱点分類 (CWE)

CWE-306 CWE-287

タイムライン

予約済み2026-04-01
公開日2026-04-02
EPSS 更新日2026-04-09

未パッチ — 公開から52日経過

緩和策と回避策

ベンダーが修正を提供していないため、迅速な軽減策が不可欠です。できるだけ早くvanna-aiの新しいバージョンにアップデートすることを強くお勧めします。その間は、システムを保護するために、追加のセキュリティ対策を実装する必要があります。これには、脆弱なエンドポイントへのアクセスを制限するためのネットワークセグメンテーション、制限付きルールを実装するファイアウォール、および攻撃の兆候を示すネットワークアクティビティの継続的な監視が含まれます。さらに、APIアクセスポリシーを見直し、強化して、成功した悪用による潜在的な影響を最小限に抑えます。ベンダーからの応答がないことは、堅牢なインシデント対応計画を持つことの重要性を強調しています。

修正方法

vanna-ai/vanna ライブラリを 2.0.2 以降のバージョンにアップデートしてください。これにより、Chat v2 API エンドポイントにおける認証の欠如が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5320 とは何ですか？（vanna）

これは、攻撃者がログインまたは身元確認プロセスによって保護されるはずの機能またはデータにアクセスできることを意味します。

vanna の CVE-2026-5320 による影響を受けていますか？

脆弱性の公開は、誰でも脆弱なシステムを攻撃するために使用できることを意味し、リスクを大幅に高めます。

vanna の CVE-2026-5320 を修正するにはどうすればよいですか？

ネットワークセグメンテーション、ファイアウォール、ネットワークアクティビティの監視などの追加のセキュリティ対策を実装してください。

CVE-2026-5320 は積極的に悪用されていますか？

はい、ベンダーに通知しましたが、現時点では応答していません。

CVE-2026-5320 に関する vanna の公式アドバイザリはどこで確認できますか？

CVE（Common Vulnerabilities and Exposures）データベースでCVE-2026-5320を参照してください。