CVE-2026-33149 in recipesالمعلومات

الملخص

بحسب VulDB • 27/05/2026

تاندور ريسبس (Tandoor Recipes) هو تطبيق لإدارة الوصفات، وتخطيط الوجبات، وإنشاء قوائم التسوق. تُعدّل الإصدارات حتى 2.5.3 (شاملةً) إعداد ALLOWED_HOSTS = '*' بشكل افتراضي، مما يتسبب في قبول Django لأي قيمة في رأس HTTP Host دون التحقق منها. يستخدم التطبيق دالة request.build_absolute_uri() لتوليد عناوين URL مطلقة في سياقات متعددة، بما في ذلك رسائل البريد الإلكتروني لروابط الدعوة، وترقيم صفحات واجهة برمجة التطبيقات (API)، وتوليد مخطط OpenAPI. يمكن لمهاجم قادر على إرسال طلبات إلى التطبيق برأس Host مُعدّل بشكل متعمد التلاعب بجميع عناوين URL المطلقة التي يولدها الخادم. يتمثل الأثر الأكثر خطورة في تسميم روابط الدعوة: عندما ينشئ مسؤول دعوة ويرسل التطبيق بريدًا إلكترونيًا للدعوة، يشير الرابط إلى خادم المهاجم بدلاً من التطبيق الحقيقي. عند النقر على الرابط من قبل الضحية، يتم إرسال رمز الدعوة إلى المهاجم، الذي يمكنه بعد ذلك استخدامه في التطبيق الحقيقي. في وقت النشر، لا يُعرف ما إذا كان هناك إصدار مُصلح متاحًا.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

17/03/2026

إفشاء

26/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353735

EPSS

0.00304

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!