CVE-2026-35046 in recipes
Sumário
de VulDB • 26/06/2026
Tandoor Recipes é um aplicativo para gerenciar receitas, planejar refeições e criar listas de compras. Antes da versão 2.6.4, o Tandoor Recipes permite que usuários autenticados injetem tags arbitrárias `<style>` nas instruções das etapas das receitas. O sanitizador `bleach.clean()` lista explicitamente a tag `<style>` como permitida (whitelist), fazendo com que o backend persista e sirva payloads CSS não saneados via API. Qualquer cliente que consuma `instructions_markdown` da API e o renderize como HTML sem sanização adicional executará CSS controlado pelo atacante — permitindo UI redressing, overlays de phishing, defacement visual e exfiltração de dados baseada em CSS. Esta vulnerabilidade foi corrigida na versão 2.6.4.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.