CVE-2026-33153 in recipesinformación

Resumen

por VulDB • 2026-05-14

Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de la compra. En las versiones anteriores a la 2.6.0, el punto de conexión de la API de recetas expone un parámetro de consulta oculto `?debug=true` que devuelve la consulta SQL en bruto completa que se está ejecutando, incluidos todos los nombres de tablas, nombres de columnas, relaciones JOIN, condiciones WHERE (revelando la lógica de control de acceso) y los IDs de espacio multiinquilino. Este parámetro funciona incluso cuando `DEBUG=False` en Django (modo producción) y es accesible para cualquier usuario autenticado, independientemente de su nivel de privilegios. Esto permite a un atacante con bajos privilegios mapear todo el esquema de la base de datos y realizar ingeniería inversa del modelo de autorización. La versión 2.6.0 corrige el problema.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-17

Divulgación

2026-03-26

Moderación

aceptado

Artículo

VDB-353739

CPE

listo

EPSS

0.00446

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!