根据用户的要求,我需要从提供的网页截图中提取关于漏洞的关键信息,并用简洁的中文Markdown格式总结。 1. 漏洞概述 (Vulnerability Overview): 标题: Submit #780729: vanna-ai vanna 2.0.2 CORS Origin Reflection with Credentials 描述: vanna-ai 2.0.2 版本中存在 CORS 配置错误。具体表现为在 FastAPI 和 Flask 服务器实现中,服务器会将任何 Origin 请求头值反射到 Access-Control-Allow-Origin 响应头中,同时设置 Access-Control-Allow-Credentials 为 true。 危害: 这允许攻击者控制的网站代表受害者发起经过身份验证的跨源请求,从而可能导致未经授权的数据访问。 2. 影响范围 (Impact/Scope): 受影响软件: vanna-ai vanna 2.0.2 具体组件: FastAPI 和 Flask 服务器实现。 相关链接: https://github.com/August020/CVE/issues/14 3. 修复方案 (Fix/Mitigation): 截图中没有直接提供具体的修复代码或补丁链接,但提到了这是一个 CORS 配置错误。通常的修复方法是正确配置 CORS 白名单,而不是反射任意 Origin。 页面底部有一个链接指向 "vanna-ai vanna up to 2.0.2 FastAPI/Flask Server cross-domain policy",这暗示了受影响的版本范围。 4. POC/利用代码 (POC/Exploit Code): 截图中没有显示具体的 POC 代码或利用脚本。描述部分只解释了漏洞原理。 5. 其他信息: 提交者: yu_fao (UID 99548) 提交时间: 2026/02/06 10:19 AM (注意:这个日期看起来是未来的,可能是截图时间设置错误或者是模拟数据,但我会如实记录或忽略,重点在漏洞本身) -> 仔细看截图,日期是 02/06/2026,这很奇怪,可能是系统时间错误。不过这不影响漏洞总结。 状态: Reviewed (已审核) 分数: 20 总结构建: 标题: vanna-ai vanna 2.0.2 CORS Origin Reflection with Credentials 概述: 描述 CORS 配置错误,反射任意 Origin 并允许凭证。 影响: vanna-ai 2.0.2 (FastAPI/Flask)。 修复: 无具体代码,需修正 CORS 策略。 POC: 无。 现在将这些信息整理成最终的 Markdown 格式。 漏洞总结:vanna-ai vanna 2.0.2 CORS Origin Reflection with Credentials 漏洞概述 漏洞类型: CORS (跨源资源共享) 配置错误 / Origin 反射 描述: 2.0.2 版本在 FastAPI 和 Flask 服务器实现中存在 CORS 配置错误。服务器会将任何 请求头值反射到 响应头中,同时设置 为 。 危害: 这允许攻击者控制的网站代表受害者发起经过身份验证的跨源请求,从而可能导致未经授权的数据访问。 影响范围 受影响软件: vanna 2.0.2 受影响组件: FastAPI 和 Flask 服务器实现 相关参考: GitHub Issue #14 修复方案 截图中未提供具体的修复代码。通常建议修正 CORS 策略,仅允许受信任的源(Whitelist),而不是反射任意 Origin。 POC/利用代码 截图中未包含具体的 POC 代码或利用脚本。