CVE-2026-33148 in recipes
요약
\~에 의해 VulDB • 2026. 05. 12.
Tandoor Recipes는 레시피 관리, 식사 계획 및 쇼핑 목록 작성을 위한 애플리케이션입니다. 2.6.0 이전 버전에서는 FDC(USDA FoodData Central) 검색 엔드포인트가 사용자 제공 `query` 매개변수를 URL 문자열에 직접 보간하여上游 API URL을 구성할 때 URL 인코딩을 수행하지 않습니다. 공격자는 쿼리 값에 `&` 문자를 포함하여 추가 URL 매개변수를 주입할 수 있습니다. 이를 통해 API 키를 덮어쓰거나上游 쿼리 동작을 조작하며, 잘못된 요청을 통해 서버 충돌(HTTP 500)을 유발하여 서비스 거부(Denial of Service) 상태를 초래할 수 있습니다. 버전 2.6.0에서 해당 문제가 패치되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.