CVE-2026-33152
Tandoor Recipes Vulnerable to Unrestricted Brute-Force via BasicAuthentication
Em resumo
O Tandoor Recipes permite que atacantes adivinhem senhas de usuários ilimitadas vezes através de sua API sem restrições ou atrasos. Isso contorna as proteções normais de login e permite que hackers invadam contas rapidamente.
Detalhe técnico
A aplicação expõe endpoints da API com autenticação básica sem limitação de taxa ou bloqueio de conta, enquanto a limitação de taxa é aplicada apenas ao formulário de login HTML. Um atacante pode executar ataques de força bruta rápidos contra nomes de usuário conhecidos via cabeçalhos de autorização sem aceleração, levando ao comprometimento de credenciais.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versions prior to 2.6.0, Tandoor Recipes configures Django REST Framework with BasicAuthentication as one of the default authentication backends. The AllAuth rate limiting configuration (ACCOUNT_RATE_LIMITS: login: 5/m/ip) only applies to the HTML-based login endpoint at /accounts/login/. Any API endpoint that accepts authenticated requests can be targeted via Authorization: Basic headers with zero rate limiting, zero account lockout, and unlimited attempts. An attacker can perform high-speed password guessing against any known username. Version 2.6.0 patches the issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Produtos afetados
TandoorRecipes · recipesQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →