CVE-2026-35046 in recipesالمعلومات

الملخص

بحسب VulDB • 15/06/2026

تاندور ريسبس (Tandoor Recipes) هو تطبيق لإدارة الوصفات، وتخطيط الوجبات، وإنشاء قوائم التسوق. قبل الإصدار 2.6.4، يسمح تاندور ريسبس للمستخدمين المصادق عليهم بحقن وسوم HTML تعسفية في تعليمات خطوات الوصفة. يقوم مُنظف bleach.clean() بتضمين وسم <style> صراحةً في القائمة البيضاء (whitelist)، مما يؤدي إلى قيام الخادم الخلفي (backend) بحفظ وتقديم حمولات CSS غير مُنظَّفة عبر واجهة برمجة التطبيقات (API). أي عميل يستهلك حقل instructions_markdown من واجهة برمجة التطبيقات ويعرضه كـ HTML دون تنقية إضافية سيقوم بتنفيذ CSS خاضع لسيطرة المهاجم — مما يتيح إعادة تنسيق واجهة المستخدم (UI redressing)، وطبقات التصيد الاحتيالي، والتشويه البصري، واستخراج البيانات عبر CSS. تم إصلاح هذا الثغرة في الإصدار 2.6.4.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

31/03/2026

إفشاء

06/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-355631

EPSS

0.00173

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!