← volver
CVE-2026-35045

Tandoor Recipes Affected by Private Recipe Exposure and Unauthorized Modification

CVSS 8.1 HIGHEPSS 0.3%CWE-639
En resumen

Tandoor Recipes permite que cualquier usuario autenticado en un espacio de trabajo modifique y exponga recetas privadas de otros usuarios a través de un endpoint de actualización en lote. Esto elude las verificaciones de seguridad que normalmente protegen recetas individuales, permitiendo que atacantes fuercen comparticiones o alteren detalles sin autorización.

Detalle técnico

El endpoint PUT /api/recipe/batch_update/ carece de validación de autorización a nivel de objeto presente en endpoints de receta individual, permitiendo que usuarios autenticados modifiquen recetas arbitrarias dentro de su Space, incluyendo recetas privadas de otros usuarios. Vector de ataque es manipulación directa de API; precondición es autenticación del usuario dentro de un Space; impacto incluye exposición no autorizada, compartición forzada y alteración de metadatos. Corregido en versión 2.6.4.

Resumen generado y traducido por IA a partir de la descripción oficial.
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. Prior to 2.6.4, the PUT /api/recipe/batch_update/ endpoint in Tandoor Recipes allows any authenticated user within a Space to modify any recipe in that Space, including recipes marked as private by other users. This bypasses all object-level authorization checks enforced on standard single-recipe endpoints (PUT /api/recipe/{id}/), enabling forced exposure of private recipes, unauthorized self-grant of access via the shared list, and metadata tampering. This vulnerability is fixed in 2.6.4.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Productos afectados
TandoorRecipes · recipes

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/TandoorRecipes/recipes/releases/tag/2.6.4https://github.com/TandoorRecipes/recipes/security/advisories/GHSA-v8x3-w674-55p5