CVE-2026-33152 in recipes
Riassunto
di VulDB • 18/06/2026
Tandoor Recipes è un'applicazione per la gestione delle ricette, la pianificazione dei pasti e la creazione di liste della spesa. Nelle versioni precedenti alla 2.6.0, Tandoor Recipes configura Django REST Framework con BasicAuthentication come uno dei backend di autenticazione predefiniti. La configurazione del rate limiting di AllAuth (ACCOUNT_RATE_LIMITS: login: 5/m/ip) si applica solo all'endpoint di accesso basato su HTML all'indirizzo /accounts/login/. Qualsiasi endpoint API che accetta richieste autenticate può essere preso di mira tramite intestazioni Authorization: Basic con zero rate limiting, zero blocco dell'account e tentativi illimitati. Un attaccante può eseguire un attacco di password guessing ad alta velocità contro qualsiasi nome utente noto. La versione 2.6.0 risolve la vulnerabilità.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.