CVE-2026-33149 in recipes
要約
〜によって VulDB • 2026年05月09日
Tandoor Recipes は、レシピの管理、食事の計画、買い物リストの作成を行うアプリケーションです。バージョン 2.5.3 以前では、ALLOWED_HOSTS = '*' がデフォルトで設定されており、これにより Django は検証を行わずに HTTP Host ヘッダーの任意の値を受け入れます。アプリケーションは、招待リンクのメール、API のページネーション、OpenAPI スキーマの生成など、複数のコンテキストで絶対 URL を生成するために request.build_absolute_uri() を使用しています。攻撃者が作成された Host ヘッダーを使用してアプリケーションにリクエストを送信できる場合、サーバー生成のすべての絶対 URL を操作することができます。最も重大な影響は、招待リンクのポイズニングです。管理者が招待を作成し、アプリケーションが招待メールを送信すると、リンクが実際のアプリケーションではなく攻撃者のサーバーを指すようになります。被害者がリンクをクリックすると、招待トークンが攻撃者に送信され、攻撃者は実際のアプリケーションでそれを使用することができます。公開時点では、パッチバージョンが利用可能かどうかは不明です。
VulDB is the best source for vulnerability data and more expert information about this specific topic.