CVE-2026-33153 in recipesthông tin

Tóm tắt

Bởi VulDB • 10/05/2026

Tandoor Recipes là một ứng dụng để quản lý công thức nấu ăn, lập kế hoạch bữa ăn và xây dựng danh sách mua sắm. Trong các phiên bản trước 2.6.0, điểm cuối API của Recipe (`Recipe API endpoint`) expose một tham số truy vấn ẩn `?debug=true` trả về toàn bộ truy vấn SQL thô đang được thực thi, bao gồm tất cả tên bảng, tên cột, mối quan hệ JOIN, điều kiện WHERE (tiết lộ logic kiểm soát truy cập) và các ID không gian đa tenant. Tham số này hoạt động ngay cả khi `DEBUG=False` của Django (chế độ production) và có thể truy cập được bởi bất kỳ người dùng đã xác thực nào bất kể mức độ đặc quyền của họ. Điều này cho phép một kẻ tấn công có đặc quyền thấp ánh xạ toàn bộ lược đồ cơ sở dữ liệu và reverse-engineer mô hình ủy quyền. Phiên bản 2.6.0 đã vá lỗi này.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

17/03/2026

Tiết lộ

26/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00446

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!