平台
python
组件
vanna-ai/vanna
修复版本
2.0.1
2.0.2
2.0.3
CVE-2026-5320 是 vanna-ai vanna 2.0.2 及之前版本中发现的一个身份验证绕过漏洞。该漏洞存在于 Chat API 端点 /api/vanna/v2/,允许未经身份验证的远程攻击者进行操作。成功利用此漏洞可能导致未经授权的访问和控制。受影响的版本包括 2.0.0 到 2.0.2。目前,厂商尚未发布官方补丁。
vanna-ai vanna 在 2.0.2 版本之前发现了一个关键漏洞,CVSS 评分达到 7.3。此安全缺陷影响聊天 API,特别是 /api/vanna/v2/ 端点,允许绕过身份验证。这意味着攻击者无需有效凭证即可访问受保护的功能。由于利用是远程的,因此风险会大大增加,因为它可以从任何具有网络访问权限的地方发起。漏洞公开的事实加剧了局势,因为它使得恶意行为者更容易利用。重要的是要注意,供应商尚未对有关此漏洞的早期通知做出响应,这阻碍了官方修复程序的可用性。
该漏洞存在于 vanna-ai 聊天 API 的 /api/vanna/v2/ 端点。攻击者可以通过发送精心设计的请求来利用此缺陷,这些请求绕过身份验证机制。利用的远程性质意味着不需要对受影响的系统进行物理访问。漏洞的公开使得攻击复制更容易,并增加了各种攻击者(从技术精通的个人到有组织的团体)使用它的风险。供应商的未响应加剧了情况,因为没有官方解决方案来保护免受此威胁。
Organizations utilizing vanna-ai vanna in production environments, particularly those exposing the /api/vanna/v2/ endpoint to external networks, are at significant risk. Shared hosting environments where multiple users share the same vanna-ai vanna instance are also vulnerable, as a compromise of one user could potentially lead to the compromise of others.
• python / server:
import requests
import json
url = 'http://your-vanna-server/api/vanna/v2/'
try:
response = requests.get(url, headers={'Authorization': 'Bearer '})
response.raise_for_status()
data = response.json()
print(f"Response: {data}")
except requests.exceptions.HTTPError as e:
print(f"Error: {e}")
except Exception as e:
print(f"An unexpected error occurred: {e}")• generic web:
curl -I http://your-vanna-server/api/vanna/v2/ | grep -i 'WWW-Authenticate'disclosure
漏洞利用状态
EPSS
0.10% (27% 百分位)
CISA SSVC
由于供应商尚未提供修复程序,因此立即采取缓解措施至关重要。我们强烈建议尽快升级到 vanna-ai 的更新版本。同时,应实施额外的安全措施以保护系统。这可能包括网络分段以限制对易受攻击端点的访问、实施具有限制性规则的防火墙以及持续监控网络活动以寻找利用迹象。此外,应审查并加强 API 访问策略,以最大限度地减少成功利用的潜在影响。供应商的未响应突出了拥有健全的事件响应计划的重要性。
升级 vanna-ai/vanna 库到 2.0.2 之后的版本。这会修复 Chat v2 API 端点中的身份验证缺失问题。
漏洞分析和关键警报直接发送到您的邮箱。
这意味着攻击者可以访问应通过登录或身份验证过程保护的功能或数据。
漏洞公开意味着任何人都可以使用它来攻击易受攻击的系统,从而大大增加风险。
实施额外的安全措施,例如网络分段、防火墙和网络活动监控。
是的,已通知供应商,但尚未做出响应。
请参阅 CVE(通用漏洞和披露)数据库,以获取 CVE-2026-5320。
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。