CVE-2025-23213

Tandoor Recipes - Stored XSS through Unrestricted File Upload

CVSS 8.7 HIGHEPSS 0.3%CWE-434

Em resumo

O Tandoor Recipes permite fazer upload de arquivos sem validação adequada, possibilitando que invasores façam upload de arquivos HTML ou SVG com scripts maliciosos. Quando outros usuários visualizam esses arquivos, os scripts são executados, podendo roubar dados ou realizar ações não autorizadas.

Detalhe técnico

Vulnerabilidade CWE-434 de upload sem restrições no Tandoor Recipes permite envio de arquivos HTML e SVG contendo payloads XSS. Quando servidos ou exibidos a outros usuários, esses arquivos executam JavaScript arbitrário no contexto do navegador da vítima, possibilitando roubo de sessão, captura de credenciais ou comprometimento de contas. A vulnerabilidade é corrigida na versão 1.5.28 através de validação de tipo de arquivo e filtragem de conteúdo.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. The file upload feature allows to upload arbitrary files, including html and svg. Both can contain malicious content (XSS Payloads). This vulnerability is fixed in 1.5.28.

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Produtos afetados

TandoorRecipes · recipes

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/TandoorRecipes/recipes/commit/3e37d11c6a3841a00eb27670d1d003f1a713e1cf https://github.com/TandoorRecipes/recipes/security/advisories/GHSA-56jp-j3x5-hh2w