JVNDB-2026-006432 | |
Sub2APIにおけるエンコードおよびエスケープに関する脆弱性 | |
| 概要 | |
Sub2APIは、AI製品のサブスクリプションからのAPIクォータを配布および管理するために設計されたAI APIゲートウェイプラットフォームです。バージョン0.1.85以前には、パスワードリセットポイズニング(ホストヘッダー/転送ヘッダーの信頼の問題)という脆弱性が存在し、攻撃者がパスワードリセットリンクを操作できる可能性がありました。攻撃者はこの脆弱性を悪用して、自分のドメインをパスワードリセットリンクに注入し、アカウント乗っ取りを引き起こす危険性があります。この脆弱性はバージョンv0.1.85で修正されています。すぐにアップグレードできない場合は、修正済みバージョンへのアップグレードが行われるまで、「パスワードを忘れた」機能を無効にすることで脆弱性を緩和することが可能です。これにより、影響を受けるエンドポイントを介した攻撃者の悪用を防止できます。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 9.1 (緊急) [NVD値]
| |
| 影響を受けるシステム | |
|
| |
Sub2API | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
GitHub | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
|
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/02/26 |
| 登録日 | 2026/03/09 |
| 最終更新日 | 2026/03/09 |
