मुफ्त स्कैन करें
HIGHCVE-2026-25991CVSS 7.7

टंदूर रेसिपीज़ (Tandoor Recipes) में ब्लाइंड एसएसआरएफ (SSRF) भेद्यता, आंतरिक नेटवर्क एक्सेस के माध्यम से रेसिपी इम्पोर्ट (Recipe Import) के कारण

प्लेटफ़ॉर्म

python

घटक

recipes

में ठीक किया गया

2.5.2

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-25991 Tandoor Recipes नामक रेसिपी प्रबंधन एप्लिकेशन में एक ब्लाइंड सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है। यह भेद्यता हमलावरों को आंतरिक या बाहरी संसाधनों से कनेक्ट करने के लिए सर्वर को मजबूर करने की अनुमति देती है। यह भेद्यता Tandoor Recipes के संस्करण 2.5.1 से पहले मौजूद है, और संस्करण 2.5.1 में इसे ठीक कर दिया गया है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

यह SSRF भेद्यता हमलावरों को Tandoor Recipes सर्वर के माध्यम से किसी भी आंतरिक या बाहरी URL पर अनुरोध करने की अनुमति देती है। चूंकि यह भेद्यता प्रमाणित उपयोगकर्ताओं के लिए भी मौजूद है, इसलिए मानक उपयोगकर्ताओं के पास भी आंतरिक सेवाओं तक पहुंच हो सकती है जिन्हें अन्यथा दुर्गम माना जाता है। हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, आंतरिक सेवाओं को स्कैन कर सकते हैं, या अन्य आंतरिक प्रणालियों पर हमले शुरू कर सकते हैं। इस भेद्यता का उपयोग डेटा चोरी, सेवा से इनकार (DoS) हमलों या आंतरिक नेटवर्क में आगे बढ़ने के लिए किया जा सकता है।

शोषण संदर्भ

CVE-2026-25991 को अभी तक KEV में जोड़ा नहीं गया है, लेकिन CVSS स्कोर 7.7 (HIGH) है, जो मध्यम संभावना का संकेत देता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन SSRF भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2026-02-13 को प्रकाशित हुई थी।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations using Tandoor Recipes for recipe management and meal planning are at risk, particularly those with standard users who have access to the Cookmate recipe import feature. Shared hosting environments where multiple users share the same Tandoor Recipes instance are also at increased risk, as a compromised user account could be used to exploit the vulnerability.

पहचान के चरणअनुवाद हो रहा है…

• python / server:

# Check for vulnerable versions
python -c 'import tandoor_recipes; print(tandoor_recipes.__version__)'

• generic web:

# Check for Cookmate integration endpoint
curl -I http://your-tandoor-recipes-server/cookbook/integration/cookmate.py

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.04% (11% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N7.7HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredLowहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
निम्न — कोई भी वैध उपयोगकर्ता खाता पर्याप्त है।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकrecipes
विक्रेताTandoorRecipes
प्रभावित श्रेणीमें ठीक किया गया
< 2.5.1 – < 2.5.12.5.2

कमजोरी वर्गीकरण (CWE)

CWE-918

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-25991 को कम करने के लिए, Tandoor Recipes को संस्करण 2.5.1 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें जो SSRF हमलों को ब्लॉक कर सके। Cookmate रेसिपी आयात सुविधा को अक्षम करने पर भी विचार करें यदि इसका उपयोग नहीं किया जा रहा है। सुनिश्चित करें कि सभी आंतरिक सेवाओं को उचित रूप से सुरक्षित किया गया है और बाहरी पहुंच से सुरक्षित है। अपग्रेड के बाद, यह सत्यापित करें कि Cookmate रेसिपी आयात सुविधा अब SSRF हमलों के प्रति संवेदनशील नहीं है, एक आंतरिक संसाधन पर अनुरोध करके और यह सुनिश्चित करके कि यह अपेक्षित रूप से विफल हो जाता है।

कैसे ठीक करें

टंदूर रेसिपीज़ (Tandoor Recipes) को संस्करण 2.5.1 या उच्चतर में अपडेट (Update) करें। इस संस्करण में एसएसआरएफ (SSRF) भेद्यता के लिए फिक्स (Fix) शामिल है। अपडेट (Update) को एप्लिकेशन के व्यवस्थापन पैनल के माध्यम से या प्रदाता द्वारा प्रदान किए गए अपडेट (Update) निर्देशों का पालन करके किया जा सकता है।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-25991 — SSRF Tandoor Recipes में क्या है?

CVE-2026-25991 Tandoor Recipes के संस्करण 2.5.1 से पहले एक ब्लाइंड सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है, जो हमलावरों को आंतरिक संसाधनों तक पहुंचने की अनुमति देती है।

क्या मैं CVE-2026-25991 में Tandoor Recipes से प्रभावित हूं?

यदि आप Tandoor Recipes के संस्करण 2.5.1 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं Tandoor Recipes में CVE-2026-25991 को कैसे ठीक करूं?

CVE-2026-25991 को ठीक करने के लिए, Tandoor Recipes को संस्करण 2.5.1 या बाद के संस्करण में अपडेट करें।

क्या CVE-2026-25991 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-25991 के सक्रिय शोषण की कोई पुष्टि नहीं है, लेकिन SSRF भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।

मैं CVE-2026-25991 के लिए आधिकारिक Tandoor Recipes सलाहकार कहां पा सकता हूं?

कृपया Tandoor Recipes की आधिकारिक वेबसाइट या सुरक्षा सलाहकार अनुभाग देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें