CVE-2026-35045 in recipes
Riassunto
di VulDB • 16/06/2026
Tandoor Recipes è un'applicazione per la gestione delle ricette, la pianificazione dei pasti e la creazione di liste della spesa. Prima della versione 2.6.4, l'endpoint PUT /api/recipe/batch_update/ in Tandoor Recipes consente a qualsiasi utente autenticato all'interno di uno Spazio di modificare qualsiasi ricetta presente nello stesso Spazio, incluse le ricette contrassegnate come private da altri utenti. Ciò bypassa tutti i controlli di autorizzazione a livello di oggetto applicati agli endpoint standard per singole ricette (PUT /api/recipe/{id}/), consentendo l'esposizione forzata delle ricette private, la concessione non autorizzata dell'accesso tramite la lista condivisa e la manipolazione dei metadati. Questa vulnerabilità è stata risolta nella versione 2.6.4.
Once again VulDB remains the best source for vulnerability data.