CVE-2026-33153 in recipesinfo

Zusammenfassung

von VulDB • 30.05.2026

Tandoor Recipes ist eine Anwendung zur Verwaltung von Rezepten, zur Planung von Mahlzeiten und zum Erstellen von Einkaufslisten. In Versionen vor 2.6.0 gibt der Endpunkt der Recipe-API einen versteckten Abfrageparameter `?debug=true` zurück, der die vollständige rohe SQL-Abfrage zurückgibt, die ausgeführt wird, einschließlich aller Tabellennamen, Spaltennamen, JOIN-Beziehungen, WHERE-Bedingungen (die die Zugriffskontrolllogik offenlegen) und Multi-Tenant-Space-IDs. Dieser Parameter funktioniert auch dann, wenn Django's `DEBUG=False` (Produktionsmodus) ist, und ist für jeden authentifizierten Benutzer unabhängig von dessen Berechtigungsstufe zugänglich. Dies ermöglicht es einem Angreifer mit geringen Berechtigungen, das gesamte Datenbankschema zu kartieren und das Autorisierungsmodell zu reverse-engineern. Version 2.6.0 behebt das Problem.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

17.03.2026

Veröffentlichung

26.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353739

CPE

bereit

EPSS

0.00446

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!