CVE-2026-33149 in recipes情報

要約

〜によって VulDB • 2026年05月09日

Tandoor Recipes は、レシピの管理、食事の計画、買い物リストの作成を行うアプリケーションです。バージョン 2.5.3 以前では、ALLOWED_HOSTS = '*' がデフォルトで設定されており、これにより Django は検証を行わずに HTTP Host ヘッダーの任意の値を受け入れます。アプリケーションは、招待リンクのメール、API のページネーション、OpenAPI スキーマの生成など、複数のコンテキストで絶対 URL を生成するために request.build_absolute_uri() を使用しています。攻撃者が作成された Host ヘッダーを使用してアプリケーションにリクエストを送信できる場合、サーバー生成のすべての絶対 URL を操作することができます。最も重大な影響は、招待リンクのポイズニングです。管理者が招待を作成し、アプリケーションが招待メールを送信すると、リンクが実際のアプリケーションではなく攻撃者のサーバーを指すようになります。被害者がリンクをクリックすると、招待トークンが攻撃者に送信され、攻撃者は実際のアプリケーションでそれを使用することができます。公開時点では、パッチバージョンが利用可能かどうかは不明です。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub M

予約する

2026年03月17日

モデレーション

承諾済み

エントリ

VDB-353735

EPSS

0.00304

アクティビティ

非常低い

ソース

Do you know our Splunk app?

Download it now for free!