A vulnerability was detected in vanna-ai vanna up to 2.0.2. Affected by this vulnerability is an unknown functionality of the file /api/vanna/v2/ of the component Chat API Endpoint. Performing a manipulation results in missing authentication. The attack can be initiated remotely. The exploit is now public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
Vanna AI versions up to 2.0.2 contain a missing authentication vulnerability in the Chat API endpoint (/api/vanna/v2/) that allows remote attackers to manipulate functionality without proper credentials. This critical flaw enables unauthorized access to AI chat services and could lead to data exposure or service abuse.
تؤثر هذه الثغرة على مكون Chat API في Vanna AI حيث يمكن للمهاجمين التلاعب بالوظائف دون تقديم بيانات اعتماد صحيحة. يتيح الاستغلال الوصول غير المصرح به إلى خدمات الذكاء الاصطناعي والبيانات الحساسة المرتبطة بها.
تحتوي إصدارات Vanna AI حتى 2.0.2 على ثغرة مصادقة مفقودة في نقطة نهاية Chat API التي تسمح للمهاجمين البعيدين بالوصول غير المصرح به. يمكن استغلال هذه الثغرة علنًا لتجاوز آليات الأمان والوصول إلى خدمات الذكاء الاصطناعي.
Immediately upgrade Vanna AI to version 2.0.3 or later. Implement network-level access controls restricting /api/vanna/v2/ endpoints to authorized users only. Enable API authentication mechanisms and enforce strong API key management. Monitor API logs for unauthorized access attempts and implement rate limiting on Chat API endpoints.
قم بترقية Vanna AI فورًا إلى الإصدار 2.0.3 أو أحدث. طبق عناصر تحكم في الوصول على مستوى الشبكة لتقييد نقاط نهاية /api/vanna/v2/ للمستخدمين المصرح لهم فقط. فعّل آليات المصادقة وفرض إدارة مفاتيح API قوية. راقب سجلات API للكشف عن محاولات الوصول غير المصرح به.