发布日期：2025-03-20
更新日期：2025-06-16

受影响系统：

vanna-ai/vanna vanna-ai/vanna

描述：

---

CVE(CAN) ID: CVE-2024-8099

vanna-ai/vanna是Vanna公司的一个个性化AI SQL代理。
vanna-ai/vanna存在服务器端请求伪造漏洞，攻击者可利用该漏洞通过提交特制的查询利用read_csv等DuckDB的默认功能，向内部或外部资源发送未经授权的请求，从而获得对敏感数据和内部系统的未经授权的权限。

<**>

建议：

---

厂商补丁：

Vanna
-----
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://huntr.com/bounties/19b96694-ed52-4ee4-8d2c-6cc7bd09c0ad

浏览次数：56
严重程度：0（网友投票）