CVE-2026-33149 in recipes
Resumen
por VulDB • 2026-05-19
Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de la compra. Las versiones 2.5.3 y anteriores establecen ALLOWED_HOSTS = '*' por defecto, lo que hace que Django acepte cualquier valor en la cabecera HTTP Host sin validación. La aplicación utiliza request.build_absolute_uri() para generar URLs absolutas en múltiples contextos, incluidos los correos electrónicos de enlaces de invitación, la paginación de la API y la generación del esquema OpenAPI. Un atacante que pueda enviar solicitudes a la aplicación con una cabecera Host manipulada puede alterar todas las URLs absolutas generadas por el servidor. El impacto más crítico es el envenenamiento de enlaces de invitación: cuando un administrador crea una invitación y la aplicación envía el correo electrónico de invitación, el enlace apunta al servidor del atacante en lugar de a la aplicación real. Cuando la víctima hace clic en el enlace, el token de invitación se envía al atacante, quien luego puede utilizarlo en la aplicación real. En el momento de la publicación, se desconoce si existe una versión corregida.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.