CVE-2026-35046 in recipesinformação

Sumário

de VulDB • 26/06/2026

Tandoor Recipes é um aplicativo para gerenciar receitas, planejar refeições e criar listas de compras. Antes da versão 2.6.4, o Tandoor Recipes permite que usuários autenticados injetem tags arbitrárias `<style>` nas instruções das etapas das receitas. O sanitizador `bleach.clean()` lista explicitamente a tag `<style>` como permitida (whitelist), fazendo com que o backend persista e sirva payloads CSS não saneados via API. Qualquer cliente que consuma `instructions_markdown` da API e o renderize como HTML sem sanização adicional executará CSS controlado pelo atacante — permitindo UI redressing, overlays de phishing, defacement visual e exfiltração de dados baseada em CSS. Esta vulnerabilidade foi corrigida na versão 2.6.4.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

31/03/2026

Divulgação

06/04/2026

Moderação

aceite

Entrada

VDB-355631

CPE

pronto

EPSS

0.00173

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!