Tandoor Recipes vulnérable à une attaque par force brute illimitée via BasicAuthentication

Tandoor Recipes est une application pour gérer des recettes, planifier des repas et créer des listes de courses. Dans les versions antérieures à 2.6.0, Tandoor Recipes configure Django REST Framework avec BasicAuthentication comme l'un des moteurs d'authentification par défaut. La configuration de limitation de débit AllAuth (ACCOUNT_RATE_LIMITS : login : 5/m/ip) s'applique uniquement au point de terminaison de connexion basé sur HTML à /accounts/login/. Tout point de terminaison API qui accepte les requêtes authentifiées peut être ciblé via des en-têtes Authorization : Basic sans limitation de débit, sans verrouillage de compte et avec des tentatives illimitées. Un attaquant peut effectuer une tentative de devinage de mot de passe à grande vitesse contre n'importe quel nom d'utilisateur connu. La version 2.6.0 corrige le problème.