CVE-2026-33148
URL Parameter Injection in FDC Food Search API Causes Server Crash and Exposes Internal API Key
En resumen
Tandoor Recipes tiene un defecto en la búsqueda de alimentos donde la entrada del usuario no se valida correctamente antes de enviarse a una API externa. Un atacante puede inyectar parámetros adicionales en la solicitud para desactivar protecciones, bloquear el servidor o exponer información sensible.
Detalle técnico
CWE-74 (Neutralización Inadecuada de Elementos Especiales en Salida) mediante concatenación insegura de parámetros de URL en el endpoint de búsqueda FDC. El parámetro de consulta controlado por el atacante permite inyección de caracteres `&` para sobrescribir credenciales de API e inyectar parámetros arbitrarios, resultando en exposición de credenciales y negación de servicio.
Resumen generado y traducido por IA a partir de la descripción oficial.
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versions prior to 2.6.0, the FDC (USDA FoodData Central) search endpoint constructs an upstream API URL by directly interpolating the user-supplied `query` parameter into the URL string without URL-encoding. An attacker can inject additional URL parameters by including `&` characters in the query value. This allows overriding the API key, manipulating upstream query behavior, and causing server crashes (HTTP 500) via malformed requests — a Denial of Service condition. Version 2.6.0 patches the issue.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Productos afectados
TandoorRecipes · recipes¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →