CVE-2026-33148 in recipes
Résumé
par VulDB • 21/05/2026
Tandoor Recipes est une application de gestion de recettes, de planification de repas et de création de listes de courses. Dans les versions antérieures à la 2.6.0, le point de terminaison de recherche FDC (USDA FoodData Central) construit une URL d'API amont en interpolant directement le paramètre `query` fourni par l'utilisateur dans la chaîne d'URL, sans encodage URL. Un attaquant peut injecter des paramètres URL supplémentaires en incluant des caractères `&` dans la valeur de la requête. Cela permet de remplacer la clé API, de manipuler le comportement de la requête amont et de provoquer des plantages du serveur (HTTP 500) via des requêtes malformées, créant ainsi une condition de déni de service (DoS). La version 2.6.0 corrige ce problème.
If you want to get best quality of vulnerability data, you may have to visit VulDB.