الثغرات ›

CVE-2026-5320

مرتفع

A vulnerability was detected in vanna-ai vanna up to 2.0.2. Affected by this vulnerability is an unknown functionality o

CWE-287 — نوع الضعف

                    نُشر: Apr 2, 2026                      ·  آخر تحديث: Apr 9, 2026                      ·  المصدر: NVD                

CVSS v3

7.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

A vulnerability was detected in vanna-ai vanna up to 2.0.2. Affected by this vulnerability is an unknown functionality of the file /api/vanna/v2/ of the component Chat API Endpoint. Performing a manipulation results in missing authentication. The attack can be initiated remotely. The exploit is now public and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

🤖 ملخص AI

Vanna AI versions up to 2.0.2 contain a missing authentication vulnerability in the Chat API endpoint (/api/vanna/v2/) that allows remote attackers to manipulate functionality without proper credentials. This critical flaw enables unauthorized access to AI chat services and could lead to data exposure or service abuse.

📄 الوصف (العربية)

تؤثر هذه الثغرة على مكون Chat API في Vanna AI حيث يمكن للمهاجمين التلاعب بالوظائف دون تقديم بيانات اعتماد صحيحة. يتيح الاستغلال الوصول غير المصرح به إلى خدمات الذكاء الاصطناعي والبيانات الحساسة المرتبطة بها.

🤖 ملخص تنفيذي (AI)

تحتوي إصدارات Vanna AI حتى 2.0.2 على ثغرة مصادقة مفقودة في نقطة نهاية Chat API التي تسمح للمهاجمين البعيدين بالوصول غير المصرح به. يمكن استغلال هذه الثغرة علنًا لتجاوز آليات الأمان والوصول إلى خدمات الذكاء الاصطناعي.

🤖 التحليل الذكي آخر تحليل: May 6, 2026 16:54

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

banking telecom government healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1133 T1078

⚖️ درجة المخاطر السعودية (AI)

8.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Vanna AI to version 2.0.3 or later. Implement network-level access controls restricting /api/vanna/v2/ endpoints to authorized users only. Enable API authentication mechanisms and enforce strong API key management. Monitor API logs for unauthorized access attempts and implement rate limiting on Chat API endpoints.

🔧 خطوات المعالجة (العربية)

قم بترقية Vanna AI فورًا إلى الإصدار 2.0.3 أو أحدث. طبق عناصر تحكم في الوصول على مستوى الشبكة لتقييد نقاط نهاية /api/vanna/v2/ للمستخدمين المصرح لهم فقط. فعّل آليات المصادقة وفرض إدارة مفاتيح API قوية. راقب سجلات API للكشف عن محاولات الوصول غير المصرح به.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.9.2.1 A.9.4.3 A.14.2.1

🔵 SAMA CSF

AC-2 AC-3 SI-4

🟡 ISO 27001:2022

A.9.2.1 A.9.4.3 A.14.2.1

🔗 المراجع والمصادر 4

🔗

https://github.com/August829/CVEP/issues/13

cna@vuldb.com

🔗

https://vuldb.com/submit/780727

cna@vuldb.com

🔗

https://vuldb.com/vuln/354652

cna@vuldb.com

🔗

https://vuldb.com/vuln/354652/cti

cna@vuldb.com

📊 CVSS Score

7.3

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.3

CWECWE-287

EPSS0.10%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-04-02

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

8.0

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-287

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-5320

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب