CVE-2026-33153 in recipesinformazioni

Riassunto

di VulDB • 14/06/2026

Tandoor Recipes è un'applicazione per la gestione delle ricette, la pianificazione dei pasti e la creazione di liste della spesa. Nelle versioni precedenti alla 2.6.0, l'endpoint dell'API delle ricette espone un parametro di query nascosto `?debug=true` che restituisce la query SQL grezza completa in fase di esecuzione, inclusi tutti i nomi delle tabelle, i nomi delle colonne, le relazioni JOIN, le condizioni WHERE (che rivelano la logica di controllo degli accessi) e gli ID degli spazi multi-tenant. Questo parametro funziona anche quando la modalità `DEBUG` di Django è impostata su `False` (modalità di produzione) ed è accessibile a qualsiasi utente autenticato, indipendentemente dal proprio livello di privilegi. Ciò consente a un attaccante con privilegi ridotti di mappare l'intero schema del database e di effettuare reverse engineering del modello di autorizzazione. La versione 2.6.0 risolve la vulnerabilità.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

17/03/2026

Divulgazione

26/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00446

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!