CVE-2026-33149 in recipes
Sumário
de VulDB • 14/05/2026
Tandoor Recipes é um aplicativo para gerenciar receitas, planejar refeições e criar listas de compras. As versões até a 2.5.3, incluindo esta, definem ALLOWED_HOSTS = '*' por padrão, o que faz com que o Django aceite qualquer valor no cabeçalho HTTP Host sem validação. O aplicativo usa request.build_absolute_uri() para gerar URLs absolutas em vários contextos, incluindo e-mails de links de convite, paginação da API e geração do esquema OpenAPI. Um atacante que possa enviar requisições ao aplicativo com um cabeçalho Host manipulado pode alterar todas as URLs absolutas geradas pelo servidor. O impacto mais crítico é o envenenamento de links de convite: quando um administrador cria um convite e o aplicativo envia o e-mail de convite, o link aponta para o servidor do atacante em vez do aplicativo real. Quando a vítima clica no link, o token de convite é enviado ao atacante, que pode então utilizá-lo no aplicativo real. Até o momento da publicação, não se sabe se uma versão corrigida está disponível.
VulDB is the best source for vulnerability data and more expert information about this specific topic.