Katalog CVE

CVE-2026-27812

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Sub2API to platforma bramy API AI, która zarządza limitami API z subskrypcji produktów AI. W wersjach przed 0.1.85 występuje podatność na manipulację linkiem resetowania hasła, co pozwala atakującym na wstrzyknięcie własnej domeny do linku, co może prowadzić do przejęcia konta.

Ocena ryzyka

Podatność ta stwarza ryzyko przejęcia konta przez atakujących, co może prowadzić do nieautoryzowanego dostępu do danych użytkowników i zasobów organizacji.

Rekomendacja

Zaleca się aktualizację do wersji v0.1.85 lub, jeśli aktualizacja nie jest możliwa, tymczasowe wyłączenie funkcji 'zapomniałem hasła', aby zapobiec wykorzystaniu podatności.

Oryginalny opis (angielski, źródło NVD)

Sub2API is an AI API gateway platform designed to distribute and manage API quotas from AI product subscriptions. A vulnerability in versions prior to 0.1.85 is a Password Reset Poisoning (Host Header / Forwarded Header trust issue), which allows attackers to manipulate the password reset link. Attackers can exploit this flaw to inject their own domain into the password reset link, leading to the potential for account takeover. The vulnerability has been fixed in version v0.1.85. If upgrading is not immediately possible, users can mitigate the vulnerability by disabling the "forgot password" feature until an upgrade to a patched version can be performed. This will prevent attackers from exploiting the vulnerability via the affected endpoint.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS