CVE-2026-27460

Tandoor Recipes Affected by Denial of Service via Recipe Import

CVSS 6.5 MEDIUMEPSS 0.3%CWE-409

En resumen

Tandoor Recipes en versiones anteriores a 2.6.5 puede bloquearse o ralentizarse significativamente cuando un usuario autenticado sube un archivo ZIP muy grande durante la importación de recetas. Cualquier persona con acceso de login puede usar esto para interrumpir el servicio.

Detalle técnico

La vulnerabilidad se encuentra en la funcionalidad de importación de recetas, donde un usuario autenticado puede enviar un archivo ZIP comprimido de forma agresiva (ZIP bomb) que consume excesivos recursos del servidor (memoria, CPU o almacenamiento). El impacto es la degradación severa del rendimiento o indisponibilidad total de la aplicación, mitigado en la versión 2.6.5 mediante validación mejorada de entrada y límites de recursos.

Resumen generado y traducido por IA a partir de la descripción oficial.

Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. Prior to 2.6.5, a critical Denial of Service (DoS) vulnerability was in the recipe import functionality. This vulnerability allows an authenticated user to crash the server or make a significantly degrade its performance by uploading a large size ZIP file (ZIP Bomb). This vulnerability is fixed in 2.6.5.

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Productos afectados

TandoorRecipes · recipes

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/TandoorRecipes/recipes/security/advisories/GHSA-w8pq-4pwf-r2m8