CVE-2026-33153 in recipesinformação

Sumário

de VulDB • 30/05/2026

Tandoor Recipes é um aplicativo para gerenciar receitas, planejar refeições e criar listas de compras. Nas versões anteriores à 2.6.0, o endpoint da API de Receitas expõe um parâmetro de consulta oculto `?debug=true` que retorna a consulta SQL bruta completa sendo executada, incluindo todos os nomes de tabelas, nomes de colunas, relacionamentos JOIN, condições WHERE (revelando a lógica de controle de acesso) e IDs de espaço multi-tenant. Este parâmetro funciona mesmo quando o `DEBUG=False` do Django (modo de produção) e é acessível a qualquer usuário autenticado, independentemente de seu nível de privilégio. Isso permite que um atacante com baixos privilégios mapeie todo o esquema do banco de dados e faça engenharia reversa do modelo de autorização. A versão 2.6.0 corrige a vulnerabilidade.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

GitHub M

Reservar

17/03/2026

Divulgação

26/03/2026

Moderação

aceite

Entrada

VDB-353739

CPE

pronto

EPSS

0.00446

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!