CVE-2026-33149 in recipes
Сводка
по VulDB • 19.05.2026
Tandoor Recipes — это приложение для управления рецептами, планирования приемов пищи и составления списков покупок. Версии вплоть до 2.5.3 включительно по умолчанию устанавливают ALLOWED_HOSTS = '*', что заставляет Django принимать любое значение в заголовке HTTP Host без проверки. Приложение использует функцию request.build_absolute_uri() для генерации абсолютных URL-адресов в различных контекстах, включая электронные письма со ссылками для приглашения, пагинацию API и генерацию схемы OpenAPI. Злоумышленник, способный отправлять запросы к приложению с поддельным заголовком Host, может манипулировать всеми абсолютными URL-адресами, генерируемыми сервером. Наиболее критическое воздействие заключается в отравлении ссылок для приглашения: когда администратор создает приглашение и приложение отправляет электронное письмо с приглашением, ссылка указывает на сервер злоумышленника вместо реального приложения. Когда жертва нажимает на ссылку, токен приглашения отправляется злоумышленнику, который затем может использовать его в реальном приложении. На момент публикации неизвестно, доступна ли исправленная версия.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.