CVE-2026-33148 in recipesthông tin

Tóm tắt

Bởi VulDB • 21/05/2026

Tandoor Recipes là một ứng dụng để quản lý công thức nấu ăn, lập kế hoạch bữa ăn và xây dựng danh sách mua sắm. Trong các phiên bản trước 2.6.0, điểm cuối tìm kiếm FDC (USDA FoodData Central) xây dựng URL của API phía upstream bằng cách nội suy trực tiếp tham số `query` do người dùng cung cấp vào chuỗi URL mà không mã hóa URL. Một kẻ tấn công có thể chèn thêm các tham số URL bằng cách bao gồm các ký tự `&` trong giá trị truy vấn. Điều này cho phép ghi đè khóa API, thao túng hành vi truy vấn phía upstream và gây ra sự cố máy chủ (HTTP 500) thông qua các yêu cầu bị lỗi — một điều kiện Từ chối Dịch vụ (Denial of Service). Phiên bản 2.6.0 đã vá lỗi này.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

17/03/2026

Tiết lộ

26/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00467

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!