Plateforme
python
Composant
recipes
Corrigé dans
2.5.2
Une vulnérabilité SSRF (Server-Side Request Forgery) a été découverte dans Tandoor Recipes, une application de gestion de recettes. Cette faille, présente dans les versions antérieures à 2.5.1, permet à des utilisateurs authentifiés, même sans privilèges administratifs, de forcer le serveur à effectuer des requêtes vers des ressources internes ou externes arbitraires. La vulnérabilité se situe dans le fichier cookbook/integration/cookmate.py, au sein de la classe Cookmate integration.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les restrictions de pare-feu et d'accéder à des ressources internes qui ne sont normalement pas accessibles depuis l'extérieur. Cela peut inclure l'accès à des informations sensibles stockées sur des serveurs internes, l'exécution de commandes sur des systèmes internes via des protocoles tels que SSH ou RDP (si les services sont exposés), ou même la lecture de fichiers de configuration contenant des mots de passe ou des clés API. L'attaquant peut également utiliser la vulnérabilité pour lancer des attaques par déni de service (DoS) en forçant le serveur à effectuer des requêtes vers des ressources externes non fiables.
Cette vulnérabilité a été rendue publique le 2026-02-13. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. La probabilité d'exploitation est considérée comme faible à moyenne, compte tenu de la nécessité d'une authentification pour exploiter la vulnérabilité et de l'absence de PoC publics largement diffusés.
Organizations using Tandoor Recipes for recipe management and meal planning are at risk, particularly those with standard users who have access to the Cookmate recipe import feature. Shared hosting environments where multiple users share the same Tandoor Recipes instance are also at increased risk, as a compromised user account could be used to exploit the vulnerability.
• python / server:
# Check for vulnerable versions
python -c 'import tandoor_recipes; print(tandoor_recipes.__version__)'• generic web:
# Check for Cookmate integration endpoint
curl -I http://your-tandoor-recipes-server/cookbook/integration/cookmate.pydisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Tandoor Recipes vers la version 2.5.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures de contournement temporaires. Il est fortement recommandé de désactiver temporairement la fonctionnalité d'importation de recettes Cookmate. Si cela n'est pas possible, configurez un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des URL suspectes ou des schémas non autorisés (par exemple, file://, gopher://). Surveillez attentivement les journaux du serveur pour détecter toute activité suspecte, en particulier les requêtes vers des adresses IP ou des domaines inconnus.
Mettez à jour Tandoor Recipes à la version 2.5.1 ou supérieure. Cette version contient la correction pour la vulnérabilité SSRF. La mise à jour peut être effectuée via le tableau de bord d'administration de l'application ou en suivant les instructions de mise à jour fournies par le fournisseur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-25991 est une vulnérabilité SSRF dans Tandoor Recipes, permettant à des utilisateurs authentifiés de forcer le serveur à se connecter à des ressources arbitraires. La sévérité est classée comme élevée (CVSS 7.7).
Vous êtes affecté si vous utilisez Tandoor Recipes version 2.5.1 ou inférieure. La mise à jour vers la version 2.5.1 est nécessaire pour corriger la vulnérabilité.
La solution est de mettre à jour Tandoor Recipes vers la version 2.5.1 ou supérieure. En attendant, désactivez temporairement la fonctionnalité d'importation de recettes Cookmate.
À l'heure actuelle, il n'y a aucune indication d'une exploitation active de CVE-2026-25991, mais la vulnérabilité reste présente dans les versions non corrigées.
Consultez le site web officiel de Tandoor Recipes ou leur page de sécurité pour obtenir des informations détaillées et des instructions de mise à jour concernant CVE-2026-25991.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.