CVE-2026-33149 in recipes
الملخص
بحسب VulDB • 27/05/2026
تاندور ريسبس (Tandoor Recipes) هو تطبيق لإدارة الوصفات، وتخطيط الوجبات، وإنشاء قوائم التسوق. تُعدّل الإصدارات حتى 2.5.3 (شاملةً) إعداد ALLOWED_HOSTS = '*' بشكل افتراضي، مما يتسبب في قبول Django لأي قيمة في رأس HTTP Host دون التحقق منها. يستخدم التطبيق دالة request.build_absolute_uri() لتوليد عناوين URL مطلقة في سياقات متعددة، بما في ذلك رسائل البريد الإلكتروني لروابط الدعوة، وترقيم صفحات واجهة برمجة التطبيقات (API)، وتوليد مخطط OpenAPI. يمكن لمهاجم قادر على إرسال طلبات إلى التطبيق برأس Host مُعدّل بشكل متعمد التلاعب بجميع عناوين URL المطلقة التي يولدها الخادم. يتمثل الأثر الأكثر خطورة في تسميم روابط الدعوة: عندما ينشئ مسؤول دعوة ويرسل التطبيق بريدًا إلكترونيًا للدعوة، يشير الرابط إلى خادم المهاجم بدلاً من التطبيق الحقيقي. عند النقر على الرابط من قبل الضحية، يتم إرسال رمز الدعوة إلى المهاجم، الذي يمكنه بعد ذلك استخدامه في التطبيق الحقيقي. في وقت النشر، لا يُعرف ما إذا كان هناك إصدار مُصلح متاحًا.
Be aware that VulDB is the high quality source for vulnerability data.