Plattform
php
Komponente
tandoor-recipes
Behoben in
2.6.6
CVE-2026-27460 affects the Tandoor Recipes application, a tool for recipe management, meal planning, and shopping list creation. This vulnerability allows an authenticated user to trigger a Denial of Service (DoS) attack by exploiting the recipe import functionality. Versions 1.0.0 through 2.6.4 are vulnerable; the issue is resolved in version 2.6.5.
Tandoor Recipes, eine beliebte Anwendung zur Verwaltung von Rezepten, zur Planung von Mahlzeiten und zur Erstellung von Einkaufslisten, ist von einer kritischen Denial-of-Service (DoS)-Schwachstelle betroffen, die als CVE-2026-27460 identifiziert wurde. Diese Schwachstelle liegt in der Rezeptimportfunktion. Ein authentifizierter Benutzer kann diese ausnutzen, indem er eine ZIP-Datei großer Größe hochlädt, die üblicherweise als „ZIP-Bombe“ bezeichnet wird. Das Hochladen dieser Datei kann dazu führen, dass der Server vollständig abstürzt oder eine erhebliche Leistungsminderung erfährt, wodurch andere Benutzer den Zugriff auf die Anwendung verlieren. Die Schwere dieser Schwachstelle wird gemäß dem CVSS-System mit 6,5 bewertet. Eine erfolgreiche Ausnutzung könnte die Planung von Mahlzeiten und die Verwaltung von Rezepten für eine große Anzahl von Benutzern stören.
Die Schwachstelle wird ausgenutzt, indem eine speziell gestaltete ZIP-Datei, eine „ZIP-Bombe“, über die Rezeptimportfunktion gesendet wird. Diese Datei, die zwar klein in ihrer scheinbaren Größe erscheint, enthält eine interne Struktur, die sich beim Entpacken exponentiell ausdehnt und eine große Menge an Serverressourcen (CPU, Speicher, Festplatte) verbraucht. Ein authentifizierter Benutzer innerhalb der Tandoor Recipes-Anwendung kann diese Aktion durchführen. Der Schwierigkeitsgrad der Ausnutzung ist relativ gering, da er nur einen authentifizierten Zugriff und die Möglichkeit erfordert, eine Datei hochzuladen. Die Wahrscheinlichkeit einer Ausnutzung ist hoch, da die Rezeptimportfunktion eine gängige und weit verbreitete Funktion ist.
Exploit-Status
EPSS
0.05% (14% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, Tandoor Recipes auf Version 2.6.5 oder höher zu aktualisieren. Dieses Update enthält die notwendigen Korrekturen, um das Risiko von DoS-Angriffen durch den Import bösartiger ZIP-Dateien zu mindern. Es wird dringend empfohlen, dass alle Benutzer ihre Anwendung so schnell wie möglich aktualisieren, um sich vor potenziellen Angriffen zu schützen. Darüber hinaus kann die Implementierung zusätzlicher Sicherheitsmaßnahmen, wie z. B. die Begrenzung der maximal zulässigen Dateigröße für Uploads und die Validierung von ZIP-Dateien vor der Verarbeitung, dazu beitragen, zukünftige ähnliche Angriffe zu verhindern. Das Aktualisieren von Software ist eine grundlegende Praxis für die Systemsicherheit.
Actualice el plugin Tandoor Recipes a la versión 2.6.5 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta actualización aborda el problema al validar el tamaño de los archivos importados, previniendo que archivos ZIP maliciosos causen una sobrecarga en el servidor.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Eine 'ZIP-Bombe' ist eine ZIP-Datei, die eine interne Struktur enthält, die beim Entpacken auf eine extrem große Größe anwächst und Systemressourcen verbraucht.
Wenn Sie eine Version von Tandoor Recipes vor 2.6.5 verwenden, sind Sie betroffen. Überprüfen Sie die Version Ihrer Anwendung und aktualisieren Sie sie umgehend.
Wenn Sie vermuten, dass Ihr Server angegriffen wurde, trennen Sie ihn vom Netzwerk und kontaktieren Sie den Tandoor Recipes-Support.
Obwohl dies nicht ideal ist, können Sie versuchen, die maximal zulässige Dateigröße für Uploads auf dem Server zu begrenzen.
Sie können die neueste Version von Tandoor Recipes von der offiziellen Website der Anwendung herunterladen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.