CVE-2026-33149
Tandoor Recipes Vulnerable to Host Header Injection
En resumen
Tandoor Recipes acepta cualquier nombre de sitio en las solicitudes sin validación, permitiendo que atacantes engañen a usuarios para que hagan clic en enlaces de invitación falsos que roban tokens de acceso. Esto ocurre porque la aplicación usa estos nombres no validados para construir enlaces enviados por correo.
Detalle técnico
CVE-2026-33149 explota la configuración ALLOWED_HOSTS = '*' en Tandoor Recipes ≤2.5.3, habilitando ataques de inyección de Host header. Un atacante envía solicitudes con Host headers manipulados; la aplicación usa request.build_absolute_uri() para generar URLs absolutas en correos de invitación, respuestas de API y esquemas OpenAPI sin validación, permitiendo robo de tokens mediante phishing. La vulnerabilidad requiere acceso de red para enviar solicitudes pero otorga capacidad de redirigir usuarios y capturar tokens de invitación.
Resumen generado y traducido por IA a partir de la descripción oficial.
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. Versions up to and including 2.5.3 set ALLOWED_HOSTS = '*' by default, which causes Django to accept any value in the HTTP Host header without validation. The application uses request.build_absolute_uri() to generate absolute URLs in multiple contexts, including invite link emails, API pagination, and OpenAPI schema generation. An attacker who can send requests to the application with a crafted Host header can manipulate all server-generated absolute URLs. The most critical impact is invite link poisoning: when an admin creates an invite and the application sends the invite email, the link points to the attacker's server instead of the real application. When the victim clicks the link, the invite token is sent to the attacker, who can then use it at the real application. As of time of publication, it is unknown if a patched version is available.
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N