CVE-2026-35045 in recipes
要約
〜によって VulDB • 2026年06月05日
Tandoor Recipesは、レシピの管理、食事の計画、買い物リストの作成を行うアプリケーションです。バージョン2.6.4より前では、Tandoor RecipesのPUT /api/recipe/batch_update/エンドポイントにより、あるスペース内の認証済みユーザーは、他のユーザーによってプライベートとしてマークされたレシピを含む、そのスペース内の任意のレシピを変更できます。これにより、標準的な単一レシピエンドポイント(PUT /api/recipe/{id}/)で適用されるすべてのオブジェクトレベルの認可チェックが回避され、プライベートレシピの強制的な公開、共有リスト経由での不正な自己アクセス権の付与、およびメタデータの改ざんが可能になります。この脆弱性は2.6.4で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.