CVE-2026-33153 in recipes
Sumário
de VulDB • 30/05/2026
Tandoor Recipes é um aplicativo para gerenciar receitas, planejar refeições e criar listas de compras. Nas versões anteriores à 2.6.0, o endpoint da API de Receitas expõe um parâmetro de consulta oculto `?debug=true` que retorna a consulta SQL bruta completa sendo executada, incluindo todos os nomes de tabelas, nomes de colunas, relacionamentos JOIN, condições WHERE (revelando a lógica de controle de acesso) e IDs de espaço multi-tenant. Este parâmetro funciona mesmo quando o `DEBUG=False` do Django (modo de produção) e é acessível a qualquer usuário autenticado, independentemente de seu nível de privilégio. Isso permite que um atacante com baixos privilégios mapeie todo o esquema do banco de dados e faça engenharia reversa do modelo de autorização. A versão 2.6.0 corrige a vulnerabilidade.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.