← voltar
CVE-2026-33153

Tandoor Recipes's Unauthenticated Debug Parameter Leaks Full Raw SQL Queries Including Schema, Table Names, and Access Control Logic

CVSS 7.7 HIGHEPSS 0.4%CWE-89
Em resumo

O Tandoor Recipes possui uma funcionalidade de debug oculta que mostra consultas completas ao banco de dados para qualquer usuário logado, revelando toda a estrutura do banco e como o controle de acesso funciona. Um atacante pode usar essas informações para encontrar fraquezas de segurança e contornar proteções.

Detalhe técnico

Um parâmetro de debug não autenticado (?debug=true) no endpoint Recipe API expõe consultas SQL brutas incluindo esquema, relacionamentos de tabelas e lógica de controle de acesso para qualquer usuário autenticado, independentemente do nível de privilégio. Esta divulgação de informações ocorre mesmo em produção (DEBUG=False) e permite reconhecimento de esquema e ataques de bypass de autorização.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versions prior to 2.6.0, the Recipe API endpoint exposes a hidden `?debug=true` query parameter that returns the complete raw SQL query being executed, including all table names, column names, JOIN relationships, WHERE conditions (revealing access control logic), and multi-tenant space IDs. This parameter works even when Django's `DEBUG=False` (production mode) and is accessible to any authenticated user regardless of their privilege level. This allows a low-privilege attacker to map the entire database schema and reverse-engineer the authorization model. Version 2.6.0 patches the issue.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:P
Produtos afetados
TandoorRecipes · recipes

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/TandoorRecipes/recipes/releases/tag/2.6.0https://github.com/TandoorRecipes/recipes/security/advisories/GHSA-f83r-v3h5-pchf