CVE-2025-23211
Tandoor Recipes - SSTI - Remote Code Execution
En resumen
Tandoor Recipes tiene una vulnerabilidad que permite a cualquier usuario ejecutar código peligroso en el servidor a través de una inyección en plantillas. Esto puede dar a los atacantes control total de la aplicación y de la computadora que la ejecuta.
Detalle técnico
Una vulnerabilidad de inyección SSTI (Server-Side Template Injection) en Jinja2 en Tandoor Recipes permite que usuarios inyecten código malicioso en plantillas, resultando en ejecución de comandos arbitrarios con los privilegios del proceso de la aplicación (potencialmente root en entornos containerizados). La falla ocurre en el procesamiento de plantillas sin sanitización adecuada de entrada.
Resumen generado y traducido por IA a partir de la descripción oficial.
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. A Jinja2 SSTI vulnerability allows any user to execute commands on the server. In the case of the provided Docker Compose file as root. This vulnerability is fixed in 1.5.24.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Productos afectados
TandoorRecipes · recipes¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/TandoorRecipes/recipes/blob/4f9bff20c858180d0f7376de443a9fe4c123a50c/cookbook/helper/template_helper.py#L95https://github.com/TandoorRecipes/recipes/commit/e6087d5129cc9d0c24278948872377e66c2a2c20https://github.com/TandoorRecipes/recipes/security/advisories/GHSA-r6rj-h75w-vj8v