CVE-2026-33153 in recipesinformation

Résumé

par VulDB • 30/05/2026

Tandoor Recipes est une application de gestion de recettes, de planification de repas et de création de listes de courses. Dans les versions antérieures à la 2.6.0, le point de terminaison de l'API Recipe expose un paramètre de requête caché `?debug=true` qui renvoie la requête SQL brute complète en cours d'exécution, y compris tous les noms de tables, les noms de colonnes, les relations JOIN, les conditions WHERE (révélant la logique de contrôle d'accès) et les IDs d'espace multi-locataires. Ce paramètre fonctionne même lorsque le mode DEBUG de Django est défini sur False (mode production) et est accessible à tout utilisateur authentifié, quel que soit son niveau de privilège. Cela permet à un attaquant disposant de privilèges limités de cartographier l'ensemble du schéma de la base de données et de rétroconcevoir le modèle d'autorisation. La version 2.6.0 corrige ce problème.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

17/03/2026

Divulgation

26/03/2026

Modérer

accepté

Entrée

VDB-353739

CPE

prêt

EPSS

0.00446

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!