根据用户提供的截图,我提取了以下关于漏洞的关键信息: 漏洞概述 漏洞标题:Submit #780727: vanna-ai vanna 2.0.2 Missing Authentication on All API Endpoints 描述:vanna-ai 2.0.2 版本未在其 HTTP 层为 API 端点实施任何身份验证机制。具体来说, 、 和 (原文重复,推测指代不同端点)等 websocket 端点接受来自任何客户端的请求,而无需 Authorization header、API key、会话令牌或任何形式的身份验证。当配置为使用实时 LLM 和数据库时,这允许未经验证的攻击者执行任意自然语言查询,从而攻击连接的数据库。 严重程度:High (高) CVSS 分数:9.0 (Critical) 影响范围 受影响软件:vanna-ai 受影响版本:vanna-ai vanna up to 2.0.2 (vanna-ai vanna up to 2.0.2 That API Endpoint /api/vanna/v2/ missing authentication) 修复方案 页面中未提供具体的修复方案或补丁代码。通常此类漏洞需要开发者在 API 层添加身份验证中间件(如 JWT 验证、API Key 检查等)。 POC/利用代码 页面中未包含具体的 POC 代码或利用代码块。描述中仅提到了受影响的端点路径。 漏洞关键信息总结 漏洞概述 漏洞标题:vanna-ai vanna 2.0.2 所有 API 端点缺失身份验证 (Missing Authentication on All API Endpoints) 漏洞描述:vanna-ai 2.0.2 版本未在其 HTTP 层为 API 端点实施任何身份验证机制。 等 websocket 端点接受来自任何客户端的请求,无需 Authorization header、API key、会话令牌或任何形式的身份验证。当配置为使用实时 LLM 和数据库时,这允许未经验证的攻击者执行任意自然语言查询,从而攻击连接的数据库。 严重程度:High (高) CVSS 分数:9.0 (Critical) 影响范围 受影响软件:vanna-ai 受影响版本:vanna-ai vanna up to 2.0.2 修复方案 页面中未提供具体的修复方案。建议开发者在 API 层添加身份验证机制(如 API Key 或 Token 验证)。 POC/利用代码 页面中未包含具体的 POC 代码或利用代码块。