CVE-2025-23213

Tandoor Recipes - Stored XSS through Unrestricted File Upload

CVSS 8.7 HIGHEPSS 0.3%CWE-434

En resumen

Tandoor Recipes permite subir archivos sin validación adecuada, permitiendo que atacantes suban archivos HTML o SVG con scripts maliciosos. Cuando otros usuarios visualizan estos archivos, los scripts se ejecutan en sus navegadores, pudiendo robar datos o realizar acciones no autorizadas.

Detalle técnico

Vulnerabilidad CWE-434 de carga de archivo sin restricciones en Tandoor Recipes permite enviar archivos HTML y SVG conteniendo payloads XSS. Cuando se sirven o se muestran a otros usuarios, estos archivos ejecutan JavaScript arbitrario en el contexto del navegador de la víctima, posibilitando robo de sesión, captura de credenciales o compromiso de cuentas. La vulnerabilidad se corrige en versión 1.5.28 mediante validación de tipo de archivo y filtrado de contenido.

Resumen generado y traducido por IA a partir de la descripción oficial.

Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. The file upload feature allows to upload arbitrary files, including html and svg. Both can contain malicious content (XSS Payloads). This vulnerability is fixed in 1.5.28.

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Productos afectados

TandoorRecipes · recipes

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/TandoorRecipes/recipes/commit/3e37d11c6a3841a00eb27670d1d003f1a713e1cf https://github.com/TandoorRecipes/recipes/security/advisories/GHSA-56jp-j3x5-hh2w