← volver
CVE-2026-33153

Tandoor Recipes's Unauthenticated Debug Parameter Leaks Full Raw SQL Queries Including Schema, Table Names, and Access Control Logic

CVSS 7.7 HIGHEPSS 0.4%CWE-89
En resumen

Tandoor Recipes tiene una funcionalidad de depuración oculta que muestra consultas completas de la base de datos a cualquier usuario conectado, revelando toda la estructura de la base de datos y cómo funciona el control de acceso. Un atacante puede usar esta información para encontrar debilidades de seguridad y eludir protecciones.

Detalle técnico

Un parámetro de depuración no autenticado (?debug=true) en el endpoint Recipe API expone consultas SQL sin procesar incluyendo esquema, relaciones de tablas y lógica de control de acceso a cualquier usuario autenticado, independientemente del nivel de privilegio. Esta divulgación de información ocurre incluso en producción (DEBUG=False) y permite ataques de reconocimiento de esquema y elusión de autorización.

Resumen generado y traducido por IA a partir de la descripción oficial.
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versions prior to 2.6.0, the Recipe API endpoint exposes a hidden `?debug=true` query parameter that returns the complete raw SQL query being executed, including all table names, column names, JOIN relationships, WHERE conditions (revealing access control logic), and multi-tenant space IDs. This parameter works even when Django's `DEBUG=False` (production mode) and is accessible to any authenticated user regardless of their privilege level. This allows a low-privilege attacker to map the entire database schema and reverse-engineer the authorization model. Version 2.6.0 patches the issue.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:P
Productos afectados
TandoorRecipes · recipes

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/TandoorRecipes/recipes/releases/tag/2.6.0https://github.com/TandoorRecipes/recipes/security/advisories/GHSA-f83r-v3h5-pchf