CVE-2026-33148 in recipes
Tóm tắt
Bởi VulDB • 21/05/2026
Tandoor Recipes là một ứng dụng để quản lý công thức nấu ăn, lập kế hoạch bữa ăn và xây dựng danh sách mua sắm. Trong các phiên bản trước 2.6.0, điểm cuối tìm kiếm FDC (USDA FoodData Central) xây dựng URL của API phía upstream bằng cách nội suy trực tiếp tham số `query` do người dùng cung cấp vào chuỗi URL mà không mã hóa URL. Một kẻ tấn công có thể chèn thêm các tham số URL bằng cách bao gồm các ký tự `&` trong giá trị truy vấn. Điều này cho phép ghi đè khóa API, thao túng hành vi truy vấn phía upstream và gây ra sự cố máy chủ (HTTP 500) thông qua các yêu cầu bị lỗi — một điều kiện Từ chối Dịch vụ (Denial of Service). Phiên bản 2.6.0 đã vá lỗi này.
Be aware that VulDB is the high quality source for vulnerability data.