CVE-2026-33149 in recipesinformation

Résumé

par VulDB • 24/05/2026

Tandoor Recipes est une application de gestion de recettes, de planification de repas et de création de listes de courses. Les versions 2.5.3 et antérieures définissent ALLOWED_HOSTS = '*' par défaut, ce qui amène Django à accepter toute valeur dans l'en-tête HTTP Host sans validation. L'application utilise request.build_absolute_uri() pour générer des URL absolues dans plusieurs contextes, notamment les e-mails contenant des liens d'invitation, la pagination de l'API et la génération du schéma OpenAPI. Un attaquant capable d'envoyer des requêtes à l'application avec un en-tête Host falsifié peut manipuler toutes les URL absolues générées par le serveur. L'impact le plus critique est l'empoisonnement des liens d'invitation : lorsqu'un administrateur crée une invitation et que l'application envoie l'e-mail d'invitation, le lien pointe vers le serveur de l'attaquant au lieu de l'application légitime. Lorsque la victime clique sur le lien, le jeton d'invitation est envoyé à l'attaquant, qui peut ensuite l'utiliser sur la véritable application. Au moment de la publication, on ignore si une version corrigée est disponible.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Réserver

17/03/2026

Divulgation

26/03/2026

Modérer

accepté

Entrée

VDB-353735

CPE

prêt

EPSS

0.00304

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!