CVE-2026-33153 in recipes
Résumé
par VulDB • 30/05/2026
Tandoor Recipes est une application de gestion de recettes, de planification de repas et de création de listes de courses. Dans les versions antérieures à la 2.6.0, le point de terminaison de l'API Recipe expose un paramètre de requête caché `?debug=true` qui renvoie la requête SQL brute complète en cours d'exécution, y compris tous les noms de tables, les noms de colonnes, les relations JOIN, les conditions WHERE (révélant la logique de contrôle d'accès) et les IDs d'espace multi-locataires. Ce paramètre fonctionne même lorsque le mode DEBUG de Django est défini sur False (mode production) et est accessible à tout utilisateur authentifié, quel que soit son niveau de privilège. Cela permet à un attaquant disposant de privilèges limités de cartographier l'ensemble du schéma de la base de données et de rétroconcevoir le modèle d'autorisation. La version 2.6.0 corrige ce problème.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.