← voltar
CVE-2026-35488

Tandoor Recipes — CustomIsShared permits DELETE/PUT on RecipeBook by shared (read-only) users

CVSS 8.1 HIGHEPSS 0.4%CWE-749
Em resumo

Um app de receitas permite que usuários com acesso somente leitura a um livro de receitas compartilhado consigam deletar ou modificar o livro, burlando a restrição. Isso ocorre porque o verificador de permissões não valida corretamente qual ação está sendo realizada.

Detalhe técnico

A classe CustomIsShared no RecipeBookViewSet e RecipeBookEntryViewSet não diferencia entre métodos HTTP seguros (GET, HEAD, OPTIONS) e inseguros (DELETE, PUT, PATCH) no has_object_permission(), permitindo que qualquer usuário compartilhado execute operações destrutivas em objetos RecipeBook independentemente da intenção de acesso somente leitura.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. Prior to 2.6.4, RecipeBookViewSet and RecipeBookEntryViewSet use CustomIsShared as an alternative permission class, but CustomIsShared.has_object_permission() returns True for all HTTP methods — including DELETE, PUT, and PATCH — without checking request.method in SAFE_METHODS. Any user who is in the shared list of a RecipeBook can delete or overwrite it, even though shared access is semantically read-only. This vulnerability is fixed in 2.6.4.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H
Produtos afetados
TandoorRecipes · recipes

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/TandoorRecipes/recipes/releases/tag/2.6.4https://github.com/TandoorRecipes/recipes/security/advisories/GHSA-xvmf-cfrq-4j8f