根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文markdown格式进行总结。 1. 漏洞概述 (Vulnerability Overview): 标题: VANNA-AI VANNA UP TO 2.0.2 CHAT API ENDPOINT /API/VANNA/V2/ MISSING AUTHENTICATION CVE编号: CVE-2026-5320 (在Summary和Details部分都有提到) 严重程度: Critical (严重) CVSS分数: 6.6 (截图显示为黄色条,分数6.6) 描述: 在vanna-ai vanna 2.0.2及更早版本中发现了一个严重漏洞。该漏洞涉及文件 中组件 的某个未知功能。执行操纵可能导致身份验证缺失。攻击可以远程发起,且存在利用代码(exploit)。 2. 影响范围 (Affected Scope): 产品: vanna-ai vanna 版本: 2.0.2 及更早版本 (up to 2.0.2) 受影响组件: Chat API Endpoint (具体路径 ) CWE: CWE-306 (Missing Authentication for Critical Function) 3. 修复方案 (Remediation/Fix): 官方响应: 截图提到 "The vendor was contacted early about this disclosure but did not respond in any way." (厂商在披露早期被联系,但未作任何回应)。 建议: 虽然截图没有明确给出补丁版本,但通常意味着需要升级到修复该漏洞的版本(如果有),或者暂时禁用该API端点。由于厂商未回应,可能没有官方补丁。 4. POC/利用代码 (POC/Exploit): 截图提到 "Moreover, an exploit is present." (此外,存在利用代码) 和 "It is possible to download the exploit at github.com." (可以在github.com下载利用代码)。 关键点: 截图中并没有直接显示具体的代码块。它只是文字描述说可以在github下载。因此,我无法提取具体的代码块,只能说明代码存在且可下载。 5. 其他信息: 当前利用价格: $0-$5k CTI Interest Score: 1.11- 攻击方式: 远程 (Remote) 利用难度: 容易 (Easy) 总结构建: 标题: CVE-2026-5320: Vanna-AI Chat API 身份验证缺失漏洞 概述: 严重漏洞,影响vanna-ai 2.0.2及以下版本。 详情: 涉及 端点,无需身份验证即可访问。 修复: 厂商未回应。 POC: 截图未包含代码,仅提及可在GitHub下载。 现在将这些信息整理成最终的Markdown格式。 CVE-2026-5320: Vanna-AI Chat API 身份验证缺失漏洞 漏洞概述 漏洞名称: Vanna-AI Vanna Up To 2.0.2 Chat API Endpoint /api/vanna/v2/ Missing Authentication CVE编号: CVE-2026-5320 严重程度: Critical (严重) CVSS分数: 6.6 描述: 在 2.0.2 及更早版本中发现严重漏洞。该漏洞涉及 组件中的 未知功能。攻击者可以通过操纵该端点导致身份验证缺失。攻击可远程发起,且已知存在利用代码(exploit)。 CWE: CWE-306 (关键功能缺失身份验证) 影响范围 受影响产品: vanna-ai vanna 受影响版本: 2.0.2 及更早版本 (up to 2.0.2) 受影响组件: Chat API Endpoint (路径: ) 修复方案 厂商响应: 厂商在披露早期被联系,但未作任何回应 (The vendor was contacted early about this disclosure but did not respond in any way)。 建议: 由于厂商未回应,暂无官方补丁信息。建议暂时禁用相关API端点或监控相关流量。 POC/利用代码 状态: 存在利用代码 (Exploit is present)。 获取方式: 截图指出可以在 下载利用代码 (It is possible to download the exploit at github.com)。 注意: 截图中未直接显示具体的代码内容,仅提供了文字描述。