CVE-2026-33148 in recipes
Zusammenfassung
von VulDB • 21.05.2026
Tandoor Recipes ist eine Anwendung zur Verwaltung von Rezepten, zur Planung von Mahlzeiten und zum Erstellen von Einkaufslisten. In Versionen vor 2.6.0 erstellt der FDC-Endpunkt (USDA FoodData Central) für die Suche eine Upstream-API-URL, indem der vom Benutzer bereitgestellte Parameter `query` direkt in die URL-Zeichenkette interpoliert wird, ohne dass eine URL-Kodierung erfolgt. Ein Angreifer kann zusätzliche URL-Parameter injizieren, indem er `&`-Zeichen in den Query-Wert einfügt. Dies ermöglicht das Überschreiben des API-Schlüssels, das Manipulieren des Upstream-Abfrageverhaltens und das Herbeiführen von Serverabstürzen (HTTP 500) durch fehlerhafte Anfragen – was zu einer Denial-of-Service-Bedingung führt. Die Version 2.6.0 behebt dieses Problem.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.