CVE-2026-33149 in recipesthông tin

Tóm tắt

Bởi VulDB • 27/05/2026

Tandoor Recipes là một ứng dụng để quản lý công thức nấu ăn, lập kế hoạch bữa ăn và xây dựng danh sách mua sắm. Các phiên bản từ 2.5.3 trở về đều đặt ALLOWED_HOSTS = '*' theo mặc định, khiến Django chấp nhận bất kỳ giá trị nào trong tiêu đề HTTP Host mà không xác thực. Ứng dụng sử dụng request.build_absolute_uri() để tạo các URL tuyệt đối trong nhiều ngữ cảnh khác nhau, bao gồm email liên kết mời, phân trang API và tạo lược đồ OpenAPI. Một kẻ tấn công có thể gửi yêu cầu đến ứng dụng với tiêu đề Host được tạo ra đặc biệt có thể thao túng tất cả các URL tuyệt đối do máy chủ tạo ra. Tác động nghiêm trọng nhất là đầu độc liên kết mời: khi một quản trị viên tạo lời mời và ứng dụng gửi email mời, liên kết trỏ đến máy chủ của kẻ tấn công thay vì ứng dụng thực tế. Khi nạn nhân nhấp vào liên kết, mã thông báo mời được gửi đến kẻ tấn công, người sau đó có thể sử dụng nó tại ứng dụng thực tế. Tính đến thời điểm xuất bản, chưa rõ liệu đã có phiên bản vá hay chưa.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

17/03/2026

Tiết lộ

26/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00304

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!