CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-27812

Critical
Published: Translated: NVD NIST

Summary

Sub2API to platforma bramy API AI, która zarządza limitami API z subskrypcji produktów AI. W wersjach przed 0.1.85 występuje podatność na manipulację linkiem resetowania hasła, co pozwala atakującym na wstrzyknięcie własnej domeny do linku, co może prowadzić do przejęcia konta.

Risk Assessment

Podatność ta stwarza ryzyko przejęcia konta przez atakujących, co może prowadzić do nieautoryzowanego dostępu do danych użytkowników i zasobów organizacji.

Recommendation

Zaleca się aktualizację do wersji v0.1.85 lub, jeśli aktualizacja nie jest możliwa, tymczasowe wyłączenie funkcji 'zapomniałem hasła', aby zapobiec wykorzystaniu podatności.

Original NVD description (English source)

Sub2API is an AI API gateway platform designed to distribute and manage API quotas from AI product subscriptions. A vulnerability in versions prior to 0.1.85 is a Password Reset Poisoning (Host Header / Forwarded Header trust issue), which allows attackers to manipulate the password reset link. Attackers can exploit this flaw to inject their own domain into the password reset link, leading to the potential for account takeover. The vulnerability has been fixed in version v0.1.85. If upgrading is not immediately possible, users can mitigate the vulnerability by disabling the "forgot password" feature until an upgrade to a patched version can be performed. This will prevent attackers from exploiting the vulnerability via the affected endpoint.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS