Plattform
python
Komponente
recipes
Behoben in
2.6.1
CVE-2026-33152 describes an authentication bypass vulnerability affecting Tandoor Recipes versions prior to 2.6.0. This flaw allows attackers to bypass rate limiting on API endpoints, enabling unauthorized access and potential data compromise. The vulnerability stems from the application's configuration of Django REST Framework with BasicAuthentication and insufficient rate limiting controls. Upgrade to version 2.6.0 to mitigate this risk.
Die CVE-2026-33152-Schwachstelle in Tandoor Recipes betrifft Versionen vor 2.6.0. Die Anwendung konfiguriert Django REST Framework mit BasicAuthentication als einen der Standard-Authentifizierungs-Backends. Obwohl AllAuth eine Ratenbegrenzung für den HTML-basierten Login-Endpunkt (/accounts/login/) implementiert, gilt dieser Mechanismus nicht für API-Endpunkte. Ein Angreifer kann dies ausnutzen, indem er authentifizierte Anfragen an jeden API-Endpunkt sendet, wobei Basic-Authentifizierungs-Header verwendet werden (Authorization: Basic <Benutzername:Passwort in Base64 kodiert>). Dies könnte zu unbefugtem Zugriff auf sensible Daten, der Änderung von Rezepten, der Manipulation von Einkaufslisten oder sogar Aktionen führen, die im Namen anderer Benutzer ausgeführt werden, abhängig von den Berechtigungen, die den API-Endpunkten zugewiesen sind.
Die Ausnutzung dieser Schwachstelle ist relativ einfach, da BasicAuthentication weit verbreitet ist und Tools zur Generierung von Basic-Autorisierungs-Headern leicht verfügbar sind. Das Fehlen einer Ratenbegrenzung an API-Endpunkten ermöglicht es einem Angreifer, in kurzer Zeit eine große Anzahl von Authentifizierungsversuchen durchzuführen. Die Schwachstelle ist besonders schwerwiegend, wenn die Anwendung zur Speicherung vertraulicher Informationen verwendet wird oder wenn Benutzer administrative Berechtigungen haben.
Organizations and individuals using Tandoor Recipes for recipe management and meal planning are at risk, particularly those relying on the application's API for integration with other services. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to access to other users' data.
• python / server:
# Check for Tandoor Recipes version
python -c "import tandoor_recipes; print(tandoor_recipes.__version__)"• generic web:
# Check for API endpoints accepting Basic Authentication
curl -u 'user:password' https://<target>/api/recipes• generic web:
# Check access logs for repeated failed authentication attempts
grep "401 Unauthorized" /var/log/apache2/access.logdisclosure
Exploit-Status
EPSS
0.07% (22% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung ist, Tandoor Recipes auf Version 2.6.0 oder höher zu aktualisieren. Diese Version behebt die Schwachstelle, indem sie BasicAuthentication standardmäßig deaktiviert. Als zusätzliche Maßnahme deaktivieren Sie BasicAuthentication explizit in der Django REST Framework-Konfiguration, auch wenn Sie auf Version 2.6.0 aktualisiert haben. Überprüfen und verstärken Sie außerdem die Zugriffskontrollen für API-Endpunkte, um sicherzustellen, dass nur autorisierte Benutzer Zugriff haben. Die Implementierung einer Zwei-Faktor-Authentifizierung (2FA) kann eine zusätzliche Sicherheitsebene bieten.
Actualice Tandoor Recipes a la versión 2.6.0 o superior. Esta versión corrige la vulnerabilidad de fuerza bruta al implementar limitación de velocidad en la autenticación básica. La actualización evitará que atacantes adivinen contraseñas a alta velocidad.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
BasicAuthentication ist ein HTTP-Authentifizierungsschema, das Benutzeranmeldeinformationen (Benutzername und Passwort) mit jeder Anfrage überträgt. Diese Anmeldeinformationen werden in Base64 kodiert, wodurch sie lesbar sind, wenn sie abgefangen werden.
Version 2.6.0 behebt die Schwachstelle, indem sie BasicAuthentication standardmäßig deaktiviert, wodurch das Risiko einer unbefugten Zugriff erheblich reduziert wird.
Wenn Sie nicht sofort aktualisieren können, deaktivieren Sie BasicAuthentication explizit in der Django REST Framework-Konfiguration und überprüfen Sie die API-Berechtigungen.
Implementieren Sie eine Ratenbegrenzung an API-Endpunkten und ziehen Sie die Verwendung einer Zwei-Faktor-Authentifizierung (2FA) in Betracht.
Sie finden weitere Informationen zu dieser Schwachstelle im CVE-Eintrag: CVE-2026-33152.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.