CVE-2026-33152
Tandoor Recipes Vulnerable to Unrestricted Brute-Force via BasicAuthentication
En resumen
Tandoor Recipes permite que atacantes adivinen contraseñas de usuarios ilimitadas veces a través de su API sin restricciones ni retrasos. Esto evita las protecciones normales de inicio de sesión y permite a los hackers acceder rápidamente a las cuentas.
Detalle técnico
La aplicación expone endpoints de API con autenticación básica sin limitación de velocidad ni bloqueo de cuenta, mientras que la limitación de velocidad se aplica solo al formulario de inicio de sesión HTML. Un atacante puede ejecutar ataques de fuerza bruta rápidos contra nombres de usuario conocidos a través de encabezados de autorización sin limitación, lo que genera compromiso de credenciales.
Resumen generado y traducido por IA a partir de la descripción oficial.
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versions prior to 2.6.0, Tandoor Recipes configures Django REST Framework with BasicAuthentication as one of the default authentication backends. The AllAuth rate limiting configuration (ACCOUNT_RATE_LIMITS: login: 5/m/ip) only applies to the HTML-based login endpoint at /accounts/login/. Any API endpoint that accepts authenticated requests can be targeted via Authorization: Basic headers with zero rate limiting, zero account lockout, and unlimited attempts. An attacker can perform high-speed password guessing against any known username. Version 2.6.0 patches the issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Productos afectados
TandoorRecipes · recipes¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →