CVE-2025-23212

Tandoor Recipes - Local file disclosure - Users can read the content of any file on the server

CVSS 7.7 HIGHEPSS 0.5%CWE-200

En resumen

Tandoor Recipes tiene una falla que permite a los usuarios leer cualquier archivo almacenado en el servidor a través de su función de almacenamiento externo. Esto expone información sensible como archivos de configuración y datos privados que deberían estar protegidos.

Detalle técnico

La función de almacenamiento externo en Tandoor Recipes no restringe adecuadamente el acceso a archivos, permitiendo que los usuarios enumeren y recuperen archivos arbitrarios del sistema de archivos del servidor. La vulnerabilidad surge de controles de acceso insuficientes en las operaciones de recuperación de archivos, habilitando la divulgación de información potencialmente sensible del servidor. Se corrigió en la versión 1.5.28.

Resumen generado y traducido por IA a partir de la descripción oficial.

Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. The external storage feature allows any user to enumerate the name and content of files on the server. This vulnerability is fixed in 1.5.28.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

Productos afectados

TandoorRecipes · recipes

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/TandoorRecipes/recipes/commit/36e83a9d0108ac56b9538b45ead57efc8b97c5ff https://github.com/TandoorRecipes/recipes/security/advisories/GHSA-jrgj-35jx-2qq7