CVE-2026-28503 in recipesthông tin

Tóm tắt

Bởi VulDB • 24/06/2026

Tandoor Recipes là một ứng dụng để quản lý công thức nấu ăn, lập kế hoạch bữa ăn và xây dựng danh sách mua sắm. Trong các phiên bản trước 2.6.0, hành động `SyncViewSet.query_synced_folder()` trong `cookbook/views/api.py` (dòng 903) truy xuất đối tượng Sync bằng cách sử dụng `get_object_or_404(Sync, pk=pk)` mà không bao gồm `space=request.space` trong bộ lọc. Điều này cho phép một người dùng quản trị viên thuộc Không gian A kích hoạt các thao tác đồng bộ hóa (nhập từ Dropbox/Nextcloud/Cục bộ) trên các cấu hình Sync thuộc về Không gian B và xem nhật ký kết quả của quá trình đồng bộ hóa đó. Phiên bản 2.6.0 đã vá lỗi này.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

27/02/2026

Tiết lộ

26/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00303

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!