Plateforme
python
Composant
recipes
Corrigé dans
2.6.1
CVE-2026-33152 est une vulnérabilité d'authentification dans Tandoor Recipes. Elle permet à un attaquant d'effectuer des tentatives d'authentification à haute vitesse sans limitation de débit ni verrouillage de compte. Les versions affectées sont celles antérieures à la version 2.6.0. La version 2.6.0 corrige cette vulnérabilité.
La vulnérabilité CVE-2026-33152 dans Tandoor Recipes affecte les versions antérieures à 2.6.0. L'application configure Django REST Framework avec BasicAuthentication comme l'un des backends d'authentification par défaut. Bien qu'AllAuth implémente une limitation de débit pour le point de terminaison de connexion basé sur HTML (/accounts/login/), ce mécanisme ne s'applique pas aux points de terminaison de l'API. Un attaquant peut exploiter cela en envoyant des requêtes authentifiées à n'importe quel point de terminaison de l'API en utilisant des en-têtes d'authentification Basic (Authorization: Basic <nom d'utilisateur:mot de passe encodés en Base64>). Cela pourrait entraîner un accès non autorisé à des données sensibles, une modification de recettes, une manipulation de listes de courses ou même des actions effectuées au nom d'autres utilisateurs, en fonction des autorisations attribuées aux points de terminaison de l'API.
L'exploitation de cette vulnérabilité est relativement simple, car BasicAuthentication est largement connu et les outils pour générer des en-têtes d'autorisation Basic sont facilement disponibles. L'absence de limitation de débit sur les points de terminaison de l'API permet à un attaquant de faire un grand nombre de tentatives d'authentification en peu de temps. La vulnérabilité est particulièrement grave si l'application est utilisée pour stocker des informations confidentielles ou si les utilisateurs disposent de privilèges administratifs.
Organizations and individuals using Tandoor Recipes for recipe management and meal planning are at risk, particularly those relying on the application's API for integration with other services. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to access to other users' data.
• python / server:
# Check for Tandoor Recipes version
python -c "import tandoor_recipes; print(tandoor_recipes.__version__)"• generic web:
# Check for API endpoints accepting Basic Authentication
curl -u 'user:password' https://<target>/api/recipes• generic web:
# Check access logs for repeated failed authentication attempts
grep "401 Unauthorized" /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour Tandoor Recipes vers la version 2.6.0 ou ultérieure. Cette version corrige la vulnérabilité en désactivant BasicAuthentication par défaut. En outre, désactivez explicitement BasicAuthentication dans la configuration de Django REST Framework, même si vous avez mis à jour vers la version 2.6.0. De plus, examinez et renforcez les contrôles d'accès aux points de terminaison de l'API pour vous assurer que seuls les utilisateurs autorisés peuvent y accéder. La mise en œuvre de l'authentification à deux facteurs (2FA) peut fournir une couche de sécurité supplémentaire.
Actualice Tandoor Recipes a la versión 2.6.0 o superior. Esta versión corrige la vulnerabilidad de fuerza bruta al implementar limitación de velocidad en la autenticación básica. La actualización evitará que atacantes adivinen contraseñas a alta velocidad.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
BasicAuthentication est un schéma d'authentification HTTP qui transmet les informations d'identification de l'utilisateur (nom d'utilisateur et mot de passe) avec chaque requête. Ces informations d'identification sont encodées en Base64, ce qui les rend lisibles si elles sont interceptées.
La version 2.6.0 corrige la vulnérabilité en désactivant BasicAuthentication par défaut, ce qui réduit considérablement le risque d'accès non autorisé.
Si vous ne pouvez pas mettre à jour immédiatement, désactivez explicitement BasicAuthentication dans la configuration de Django REST Framework et examinez les autorisations de l'API.
Mettez en œuvre une limitation de débit sur les points de terminaison de l'API et envisagez d'utiliser l'authentification à deux facteurs (2FA).
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans l'entrée CVE : CVE-2026-33152.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.