CVE-2026-35046 in recipesinformación

Resumen

por VulDB • 2026-05-12

Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de la compra. Antes de la versión 2.6.4, Tandoor Recipes permite a los usuarios autenticados inyectar etiquetas `<style>` arbitrarias en las instrucciones de los pasos de las recetas. El sanitizador `bleach.clean()` incluye explícitamente la etiqueta `<style>` en su lista blanca, lo que provoca que el backend persista y sirva cargas útiles de CSS sin sanitizar a través de la API. Cualquier cliente que consuma `instructions_markdown` de la API y lo renderice como HTML sin una sanitización adicional ejecutará CSS controlado por el atacante, lo que permite el rediseño de la interfaz de usuario (UI redressing), superposiciones de phishing, defacement visual y la exfiltración de datos basada en CSS. Esta vulnerabilidad se corrige en la versión 2.6.4.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2026-03-31

Divulgación

2026-04-06

Moderación

aceptado

Artículo

VDB-355631

CPE

listo

EPSS

0.00173

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!