← voltar
CVE-2026-35045

Tandoor Recipes Affected by Private Recipe Exposure and Unauthorized Modification

CVSS 8.1 HIGHEPSS 0.3%CWE-639
Em resumo

O Tandoor Recipes permite que qualquer usuário logado em um espaço de trabalho modifique e exponha receitas privadas de outros usuários através de um endpoint de atualização em lote. Isso ultrapassa as verificações de segurança que normalmente protegem receitas individuais, permitindo que invasores forcem compartilhamentos ou alterem detalhes sem autorização.

Detalhe técnico

O endpoint PUT /api/recipe/batch_update/ não implementa validação de autorização em nível de objeto presente nos endpoints de receita individual, permitindo que usuários autenticados modifiquem receitas arbitrárias dentro de seu Space, incluindo receitas privadas de outros usuários. Vetor de ataque é manipulação direta da API; pré-condição é autenticação do usuário dentro de um Space; impacto inclui exposição não autorizada, compartilhamento forçado e alteração de metadados. Corrigido na versão 2.6.4.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. Prior to 2.6.4, the PUT /api/recipe/batch_update/ endpoint in Tandoor Recipes allows any authenticated user within a Space to modify any recipe in that Space, including recipes marked as private by other users. This bypasses all object-level authorization checks enforced on standard single-recipe endpoints (PUT /api/recipe/{id}/), enabling forced exposure of private recipes, unauthorized self-grant of access via the shared list, and metadata tampering. This vulnerability is fixed in 2.6.4.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Produtos afetados
TandoorRecipes · recipes

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/TandoorRecipes/recipes/releases/tag/2.6.4https://github.com/TandoorRecipes/recipes/security/advisories/GHSA-v8x3-w674-55p5