CVE-2026-33149 in recipesinformación

Resumen

por VulDB • 2026-05-19

Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de la compra. Las versiones 2.5.3 y anteriores establecen ALLOWED_HOSTS = '*' por defecto, lo que hace que Django acepte cualquier valor en la cabecera HTTP Host sin validación. La aplicación utiliza request.build_absolute_uri() para generar URLs absolutas en múltiples contextos, incluidos los correos electrónicos de enlaces de invitación, la paginación de la API y la generación del esquema OpenAPI. Un atacante que pueda enviar solicitudes a la aplicación con una cabecera Host manipulada puede alterar todas las URLs absolutas generadas por el servidor. El impacto más crítico es el envenenamiento de enlaces de invitación: cuando un administrador crea una invitación y la aplicación envía el correo electrónico de invitación, el enlace apunta al servidor del atacante en lugar de a la aplicación real. Cuando la víctima hace clic en el enlace, el token de invitación se envía al atacante, quien luego puede utilizarlo en la aplicación real. En el momento de la publicación, se desconoce si existe una versión corregida.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-03-17

Divulgación

2026-03-26

Moderación

aceptado

Artículo

VDB-353735

CPE

listo

EPSS

0.00304

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!