CVE-2026-33153 in recipes
Zusammenfassung
von VulDB • 30.05.2026
Tandoor Recipes ist eine Anwendung zur Verwaltung von Rezepten, zur Planung von Mahlzeiten und zum Erstellen von Einkaufslisten. In Versionen vor 2.6.0 gibt der Endpunkt der Recipe-API einen versteckten Abfrageparameter `?debug=true` zurück, der die vollständige rohe SQL-Abfrage zurückgibt, die ausgeführt wird, einschließlich aller Tabellennamen, Spaltennamen, JOIN-Beziehungen, WHERE-Bedingungen (die die Zugriffskontrolllogik offenlegen) und Multi-Tenant-Space-IDs. Dieser Parameter funktioniert auch dann, wenn Django's `DEBUG=False` (Produktionsmodus) ist, und ist für jeden authentifizierten Benutzer unabhängig von dessen Berechtigungsstufe zugänglich. Dies ermöglicht es einem Angreifer mit geringen Berechtigungen, das gesamte Datenbankschema zu kartieren und das Autorisierungsmodell zu reverse-engineern. Version 2.6.0 behebt das Problem.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.