A security vulnerability has been detected in vanna-ai vanna up to 2.0.2. The affected element is an unknown function of the component Legacy Flask API. The manipulation leads to improper authorization. It is possible to initiate the attack remotely. The exploit has been disclosed publicly and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
CVE-2026-6977 is a high-severity improper authorization vulnerability in vanna-ai vanna versions up to 2.0.2 affecting the Legacy Flask API component. The vulnerability allows remote attackers to bypass authorization controls, with public exploit code available and no vendor response.
تؤثر هذه الثغرة على مكون Legacy Flask API في vanna-ai vanna وتسمح بتجاوز آليات التفويض من خلال معالجة غير صحيحة للتحقق من الأذونات. تم الكشف عن رمز الاستغلال علناً ولم يستجب البائع للإفصاح المسؤول، مما يزيد من خطر الاستغلال الفوري.
ثغرة CVE-2026-6977 هي ثغرة تفويض غير صحيح عالية الخطورة في إصدارات vanna-ai vanna حتى 2.0.2 تؤثر على مكون Legacy Flask API. تسمح الثغرة للمهاجمين البعيدين بتجاوز عناصر التحكم في التفويض مع توفر رمز استغلال عام.
Immediately upgrade vanna-ai vanna to version 2.0.3 or later. If immediate patching is not possible, implement network-level access controls to restrict access to the Legacy Flask API endpoints, disable the Legacy Flask API if not required, and monitor for suspicious authorization bypass attempts in application logs.
قم بالترقية الفورية إلى إصدار vanna-ai vanna 2.0.3 أو أحدث. إذا لم يكن الترقية الفورية ممكنة، قم بتطبيق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى نقاط نهاية Legacy Flask API، وتعطيل واجهة برمجة التطبيقات القديمة إذا لم تكن مطلوبة، ومراقبة محاولات تجاوز التفويض المريبة.