Plataforma
python
Componente
vanna-ai/vanna
Corrigido em
2.0.1
2.0.2
2.0.3
A CVE-2026-5320 descreve uma vulnerabilidade de falta de autenticação no componente Chat API Endpoint do vanna-ai vanna até a versão 2.0.2. A exploração remota dessa falha permite a manipulação sem autenticação. As versões afetadas são vanna 2.0.0 até 2.0.2. Não há patch oficial disponível para corrigir esta vulnerabilidade.
Uma vulnerabilidade crítica foi identificada no vanna-ai vanna até a versão 2.0.2, classificada com um CVSS de 7.3. Esta falha de segurança afeta a API de chat, especificamente o endpoint /api/vanna/v2/, permitindo uma omissão de autenticação. Isso significa que um atacante pode acessar funcionalidades protegidas sem a necessidade de credenciais válidas. A exploração é remota, o que amplia significativamente o risco, pois pode ser iniciada de qualquer lugar com acesso à rede. A gravidade da situação é agravada pelo fato de que a exploração já é pública, facilitando seu uso por parte de agentes maliciosos. É importante destacar que o fornecedor não respondeu às notificações antecipadas sobre esta vulnerabilidade, o que dificulta a disponibilidade de uma solução oficial.
A vulnerabilidade reside no endpoint /api/vanna/v2/ da API de chat do vanna-ai. Um atacante pode explorar esta falha enviando solicitações cuidadosamente elaboradas que evitam os mecanismos de autenticação. A natureza remota da exploração significa que não é necessário acesso físico ao sistema afetado. A publicação do exploit público facilita a replicação do ataque e aumenta o risco de que seja usado por uma ampla gama de atacantes, de indivíduos com conhecimentos técnicos a grupos organizados. A falta de resposta do fornecedor agrava a situação, pois não há uma solução oficial disponível para se proteger contra esta ameaça.
Organizations utilizing vanna-ai vanna in production environments, particularly those exposing the /api/vanna/v2/ endpoint to external networks, are at significant risk. Shared hosting environments where multiple users share the same vanna-ai vanna instance are also vulnerable, as a compromise of one user could potentially lead to the compromise of others.
• python / server:
import requests
import json
url = 'http://your-vanna-server/api/vanna/v2/'
try:
response = requests.get(url, headers={'Authorization': 'Bearer '})
response.raise_for_status()
data = response.json()
print(f"Response: {data}")
except requests.exceptions.HTTPError as e:
print(f"Error: {e}")
except Exception as e:
print(f"An unexpected error occurred: {e}")• generic web:
curl -I http://your-vanna-server/api/vanna/v2/ | grep -i 'WWW-Authenticate'disclosure
Status do Exploit
EPSS
0.10% (percentil 27%)
CISA SSVC
Vetor CVSS
Dado que o fornecedor não forneceu uma solução (fix), a mitigação imediata é crucial. Recomenda-se fortemente atualizar para uma versão posterior do vanna-ai assim que estiver disponível. Enquanto isso, medidas de segurança adicionais devem ser implementadas para proteger o sistema. Isso pode incluir a segmentação da rede para limitar o acesso ao endpoint vulnerável, a implementação de firewalls com regras restritivas e o monitoramento constante da atividade da rede em busca de sinais de exploração. Além disso, sugere-se revisar e reforçar as políticas de acesso à API para minimizar o impacto potencial de uma exploração bem-sucedida. A falta de resposta do fornecedor sublinha a importância de ter um plano de resposta a incidentes robusto.
Atualize a biblioteca vanna-ai/vanna para uma versão posterior a 2.0.2. Isso corrigirá a falta de autenticação no endpoint da API Chat v2.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Significa que um atacante pode acessar funções ou dados que deveriam estar protegidos por um processo de login ou verificação de identidade.
A publicação do exploit significa que qualquer pessoa pode usá-lo para atacar sistemas vulneráveis, aumentando significativamente o risco.
Implemente medidas de segurança adicionais, como segmentação de rede, firewalls e monitoramento da atividade da rede.
Sim, o fornecedor foi notificado, mas não respondeu até o momento.
Consulte a base de dados de vulnerabilidades CVE (Common Vulnerabilities and Exposures) para CVE-2026-5320.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.