Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » CVE-2026-6977

CVE-2026-6977

cve vulnerability

CVE-2026-6977

CVE-2026-6977: Vulnerabilidad de Seguridad en vanna-ai vanna 2.0.2

Vulnerabilidad crítica detectada en el componente Legacy Flask API de la aplicación vanna-ai, afectando versiones hasta 2.0.2.

Tabla de Indicadores de Compromiso (IOC) - Datos públicos disponibles
Tipo Valor Contexto
CVE-ID CVE-2026-6977 Vulnerabilidad de seguridad pública disponible en CVE database (NIST/CISA)
CVE-ID CVSS 7.3 (HIGH) Rango de ataque remoto posible con autenticación débil
CVE-ID Vanna AI vanna-ai version Versión 1.0.0 a 2.0.2 (versión afectada)
CVE-ID Legacy Flask API API endpoint vulnerable con autenticación insegura
CVE-ID OpenCTI ID: OCT-6398741
CVE-ID Extraction Source: Public CVE Database (NIST)
CVE-ID Affected Version: vanna-ai vanna up to 2.0.2 (versión no afectada)
CVE-ID Published Date: 2026-04-25 (public disclosure)
CVE-ID Status: VULNERABLE (Publicly disclosed)

Descripción de la Vulnerabilidad

Vulnerabilidad crítica detectada en el componente Legacy Flask API de la aplicación vanna-ai, afectando versiones hasta 2.0.2.

The affected element is an unknown function of the component Legacy Flask API. The manipulation leads to improper authorization. It is possible to initiate the attack remotely. The exploit has been disclosed publicly and may be used.

Vulnerabilidad de seguridad pública disponible en CVE database (NIST/CISA). CVSS Score: 7.3 (HIGH).

The vendor was contacted early about this disclosure but did not respond in any way.

Alerta: La explotación del CVE ha sido descifrada públicamente y es posible usarla para ataques remotos. El vendor no respondió a las solicitudes de información técnica durante el período inicial de publicación (2026-04-25).

Sistemas Afectados

Sistema Afectado Estado
vanna-ai / vanna-up Versiones hasta 2.0.2
Legacy Flask API (componente interno) Vulnerable
API endpoints no documentados Puede acceder a endpoints inseguros vía API

Impacto y Explotabilidad

CVE-ID: CVE-2026-6977
CVSS Score: 7.3 (HIGH)
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Vulnerabilidad de seguridad pública disponible en CVE database (NIST/CISA).

Indicadores de Compromiso (IOCs)

Tabla de Indicadores de Compromiso (IOC) - Datos públicos disponibles
Tipo Valor Contexto
No hay Indicadores de Compromiso publicos disponibles. Categoría: Publicamente disponible en CVE database
No hay Indicadores de Compromiso publicos disponibles. Categoría: Software versión específica
No hay Indicadores de Compromiso publicos disponibles. Categoría: API endpoint vulnerable
No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

Acción Requerida: Actualizar inmediatamente a la versión vanna-ai >= 2.0.3 (versión no afectada) para eliminar el riesgo de CVE-2026-6977. El software actualizado está disponible en repositorios oficiales y plataformas de seguridad como OpenCTI o NIST CISA.
Riesgo Remoto: La explotación del CVE ha sido descifrada públicamente (2026-04-25). El vendor no respondió a solicitudes técnicas durante el período inicial de publicación. Se recomienda implementar controles de defensa en profundidad y monitoreo continuo para detectar posibles ataques derivados.

Vulnerabilidad crítica detectada en el componente Legacy Flask API, afectando versiones hasta 2.0.2.

La explotación del CVE ha sido descifrada públicamente (2026-04-25). El vendor no respondió a solicitudes técnicas durante el período inicial de publicación. Se recomienda implementar controles de defensa en profundidad y monitoreo continuo para detectar posibles ataques derivados.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me