CVE-2026-35488
Tandoor Recipes — CustomIsShared permits DELETE/PUT on RecipeBook by shared (read-only) users
En resumen
Una aplicación de gestión de recetas permite que usuarios con acceso de solo lectura a un libro de recetas compartido lo eliminen o modifiquen, anulando la restricción de lectura. Esto ocurre porque el verificador de permisos no valida correctamente qué acción se está realizando.
Detalle técnico
La clase CustomIsShared en RecipeBookViewSet y RecipeBookEntryViewSet no diferencia entre métodos HTTP seguros (GET, HEAD, OPTIONS) e inseguros (DELETE, PUT, PATCH) en has_object_permission(), permitiendo que cualquier usuario compartido ejecute operaciones destructivas en objetos RecipeBook independientemente de la intención de acceso de solo lectura.
Resumen generado y traducido por IA a partir de la descripción oficial.
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. Prior to 2.6.4, RecipeBookViewSet and RecipeBookEntryViewSet use CustomIsShared as an alternative permission class, but CustomIsShared.has_object_permission() returns True for all HTTP methods — including DELETE, PUT, and PATCH — without checking request.method in SAFE_METHODS. Any user who is in the shared list of a RecipeBook can delete or overwrite it, even though shared access is semantically read-only. This vulnerability is fixed in 2.6.4.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Productos afectados
TandoorRecipes · recipes¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →