CVE-2026-35045 in recipes
요약
\~에 의해 VulDB • 2026. 06. 05.
Tandoor Recipes는 레시피 관리, 식사 계획 및 쇼핑 목록 작성을 위한 애플리케이션입니다. 2.6.4 이전 버전에서 Tandoor Recipes의 PUT /api/recipe/batch_update/ 엔드포인트는 Space 내의 모든 인증된 사용자가 해당 Space의 레시피를 수정할 수 있게 하며, 여기에는 다른 사용자가 비공개로 표시한 레시피도 포함됩니다. 이는 표준 단일 레시피 엔드포인트(PUT /api/recipe/{id}/)에서 적용되는 모든 객체 수준 권한 확인을 우회하여, 비공개 레시피의 강제 노출, 공유 목록을 통한 무단 자기 접근 권한 부여 및 메타데이터 변조를 가능하게 합니다. 이 취약점은 2.6.4에서 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.