vanna-ai vanna FastAPI/Flask Server クロスドメインポリシー

vanna-ai vanna の 2.0.2 までのバージョンに脆弱性が発見されました。この問題の影響を受けるのは、コンポーネント FastAPI/Flask Server の未知の機能です。操作を実行すると、信頼されていないドメインに対して寛容なクロスドメインポリシーにつながる可能性があります。攻撃はリモートから実行できます。このエクスプロイトは公開されており、使用される可能性があります。ベンダーにはこの開示について早期に連絡を取りましたが、何の応答もありませんでした。