Tandoor Recipes Affected by Authenticated Local File Disclosure (LFD) via Recipe Import leads to Arbitrary File Read

Un usuario autenticado con permiso de importación en Tandoor Recipes puede leer cualquier archivo del servidor manipulando la ruta del archivo durante la importación de recetas. Esto podría exponer archivos sensibles del sistema o secretos de la aplicación.

Vulnerabilidad de traversal de rutas en el flujo de RecipeImport permite que usuarios autenticados eludan restricciones de directorio de almacenamiento a través de parámetros file_path no validados en el backend Local. El atacante debe tener permisos de importación; la explotación exitosa habilita lectura de archivo arbitrario en archivos sensibles como /etc/passwd o configuración de aplicación, potencialmente facilitando compromiso total del sistema.