Plateforme
php
Composant
tandoor-recipes
Corrigé dans
2.6.6
Tandoor Recipes est une application de gestion de recettes, de planification de repas et de création de listes de courses. Une vulnérabilité DoS critique a été identifiée dans la fonctionnalité d'importation de recettes, permettant à un utilisateur authentifié de provoquer un crash du serveur ou une dégradation significative de ses performances via le téléchargement d'un fichier ZIP volumineux (ZIP Bomb). Cette vulnérabilité affecte les versions 1.0.0 jusqu'à, mais sans inclure, la version 2.6.5. Une correction est disponible dans la version 2.6.5.
Tandoor Recipes, une application populaire pour la gestion des recettes, la planification des repas et la création de listes de courses, a été affectée par une vulnérabilité critique de Déni de Service (DoS) identifiée comme CVE-2026-27460. Cette vulnérabilité se situe dans la fonctionnalité d'importation de recettes. Un utilisateur authentifié peut l'exploiter en téléchargeant un fichier ZIP de grande taille, communément appelé « ZIP Bomb ». Le téléchargement de ce fichier peut entraîner le blocage complet du serveur ou une dégradation significative des performances, empêchant les autres utilisateurs d'accéder à l'application. La gravité de cette vulnérabilité est notée 6,5 selon le système CVSS. Une exploitation réussie pourrait perturber les opérations de planification de repas et de gestion des recettes pour un grand nombre d'utilisateurs.
La vulnérabilité est exploitée en envoyant un fichier ZIP spécialement conçu, un « ZIP Bomb », via la fonction d'importation de recettes. Ce fichier, bien qu'il puisse sembler petit en taille apparente, contient une structure interne qui s'étend de manière exponentielle lorsqu'il est décompressé, consommant une grande quantité de ressources serveur (CPU, mémoire, disque). Un utilisateur authentifié au sein de l'application Tandoor Recipes peut effectuer cette action. La difficulté d'exploitation est relativement faible, car elle ne nécessite qu'un accès authentifié et la capacité de télécharger un fichier. La probabilité d'exploitation est élevée, étant donné que la fonctionnalité d'importation de recettes est une fonctionnalité courante et largement utilisée.
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité consiste à mettre à jour Tandoor Recipes à la version 2.6.5 ou ultérieure. Cette mise à jour comprend les correctifs nécessaires pour atténuer le risque d'attaques DoS par le biais de l'importation de fichiers ZIP malveillants. Il est fortement recommandé à tous les utilisateurs de mettre à jour leur application dès que possible pour se protéger contre d'éventuelles attaques. De plus, la mise en œuvre de mesures de sécurité supplémentaires, telles que la limitation de la taille maximale des fichiers autorisés au téléchargement et la validation des fichiers ZIP avant leur traitement, peut aider à prévenir de futures attaques similaires. Le maintien des logiciels à jour est une pratique fondamentale pour la sécurité du système.
Actualice el plugin Tandoor Recipes a la versión 2.6.5 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta actualización aborda el problema al validar el tamaño de los archivos importados, previniendo que archivos ZIP maliciosos causen una sobrecarga en el servidor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un 'ZIP Bomb' est un fichier ZIP qui contient une structure interne conçue pour s'étendre à une taille extrêmement grande lors de la décompression, consommant des ressources système.
Si vous utilisez une version de Tandoor Recipes antérieure à la 2.6.5, vous êtes vulnérable. Vérifiez la version de votre application et mettez-la à jour immédiatement.
Si vous suspectez que votre serveur a été attaqué, déconnectez-le du réseau et contactez le support de Tandoor Recipes.
Bien que ce ne soit pas idéal, vous pouvez essayer de limiter la taille maximale des fichiers autorisés au téléchargement sur le serveur.
Vous pouvez télécharger la dernière version de Tandoor Recipes depuis le site web officiel de l'application.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.