CVE-2026-33149 in recipesИнформация

Сводка

по VulDB • 19.05.2026

Tandoor Recipes — это приложение для управления рецептами, планирования приемов пищи и составления списков покупок. Версии вплоть до 2.5.3 включительно по умолчанию устанавливают ALLOWED_HOSTS = '*', что заставляет Django принимать любое значение в заголовке HTTP Host без проверки. Приложение использует функцию request.build_absolute_uri() для генерации абсолютных URL-адресов в различных контекстах, включая электронные письма со ссылками для приглашения, пагинацию API и генерацию схемы OpenAPI. Злоумышленник, способный отправлять запросы к приложению с поддельным заголовком Host, может манипулировать всеми абсолютными URL-адресами, генерируемыми сервером. Наиболее критическое воздействие заключается в отравлении ссылок для приглашения: когда администратор создает приглашение и приложение отправляет электронное письмо с приглашением, ссылка указывает на сервер злоумышленника вместо реального приложения. Когда жертва нажимает на ссылку, токен приглашения отправляется злоумышленнику, который затем может использовать его в реальном приложении. На момент публикации неизвестно, доступна ли исправленная версия.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

17.03.2026

Раскрытие

26.03.2026

Модерация

принято

Вход

VDB-353735

EPSS

0.00304

KEV

Нет

Деятельности

Очень низкий

Источники

Interested in the pricing of exploits?

See the underground prices here!