प्लेटफ़ॉर्म
python
घटक
recipes
में ठीक किया गया
2.6.1
CVE-2026-33152, Tandoor Recipes एप्लिकेशन में एक भेद्यता है जो असुरक्षित प्रमाणीकरण की अनुमति देती है। यह भेद्यता हमलावरों को बिना किसी दर सीमा के उच्च गति से हमलों को अंजाम देने की अनुमति देती है। यह भेद्यता Tandoor Recipes के 2.6.0 से पहले के संस्करणों को प्रभावित करती है। संस्करण 2.6.0 में इस समस्या को ठीक कर दिया गया है।
Tandoor Recipes में CVE-2026-33152 भेद्यता 2.6.0 से पहले के संस्करणों को प्रभावित करती है। यह एप्लिकेशन Django REST Framework को डिफ़ॉल्ट प्रमाणीकरण बैकएंड के रूप में BasicAuthentication के साथ कॉन्फ़िगर करता है। हालाँकि AllAuth HTML-आधारित लॉगिन एंडपॉइंट (/accounts/login/) के लिए दर सीमित करता है, लेकिन यह तंत्र API एंडपॉइंट पर लागू नहीं होता है। एक हमलावर Basic प्रमाणीकरण शीर्षलेखों (Authorization: Basic <base64 एन्कोडेड उपयोगकर्ता नाम: पासवर्ड>) का उपयोग करके किसी भी API एंडपॉइंट पर प्रमाणित अनुरोध भेजकर इस भेद्यता का फायदा उठा सकता है। इससे संवेदनशील डेटा तक अनधिकृत पहुंच, व्यंजनों का संशोधन, खरीदारी सूची का हेरफेर या API एंडपॉइंट को असाइन किए गए अनुमतियों के आधार पर अन्य उपयोगकर्ताओं की ओर से कार्रवाई करना संभव हो सकता है।
इस भेद्यता का फायदा उठाना अपेक्षाकृत आसान है, क्योंकि BasicAuthentication व्यापक रूप से ज्ञात है और Basic प्राधिकरण शीर्षलेख उत्पन्न करने के लिए उपकरण आसानी से उपलब्ध हैं। API एंडपॉइंट पर दर सीमित न होने के कारण, एक हमलावर कम समय में बड़ी संख्या में प्रमाणीकरण प्रयास कर सकता है। यदि एप्लिकेशन का उपयोग गोपनीय जानकारी संग्रहीत करने के लिए किया जाता है या उपयोगकर्ताओं के पास प्रशासनिक विशेषाधिकार हैं, तो यह भेद्यता विशेष रूप से गंभीर है।
Organizations and individuals using Tandoor Recipes for recipe management and meal planning are at risk, particularly those relying on the application's API for integration with other services. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to access to other users' data.
• python / server:
# Check for Tandoor Recipes version
python -c "import tandoor_recipes; print(tandoor_recipes.__version__)"• generic web:
# Check for API endpoints accepting Basic Authentication
curl -u 'user:password' https://<target>/api/recipes• generic web:
# Check access logs for repeated failed authentication attempts
grep "401 Unauthorized" /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान Tandoor Recipes को संस्करण 2.6.0 या बाद के संस्करण में अपडेट करना है। यह संस्करण BasicAuthentication को डिफ़ॉल्ट रूप से अक्षम करके भेद्यता को ठीक करता है। एक अतिरिक्त उपाय के रूप में, यदि आपने संस्करण 2.6.0 में अपडेट किया है, तो Django REST Framework कॉन्फ़िगरेशन में BasicAuthentication को स्पष्ट रूप से अक्षम करें। इसके अलावा, API एंडपॉइंट पर एक्सेस नियंत्रण की समीक्षा और मजबूत करें ताकि केवल अधिकृत उपयोगकर्ताओं को ही पहुंच प्राप्त हो। दो-कारक प्रमाणीकरण (2FA) को लागू करने से एक अतिरिक्त सुरक्षा परत प्रदान की जा सकती है।
Actualice Tandoor Recipes a la versión 2.6.0 o superior. Esta versión corrige la vulnerabilidad de fuerza bruta al implementar limitación de velocidad en la autenticación básica. La actualización evitará que atacantes adivinen contraseñas a alta velocidad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
BasicAuthentication एक HTTP प्रमाणीकरण योजना है जो उपयोगकर्ता के क्रेडेंशियल (उपयोगकर्ता नाम और पासवर्ड) को प्रत्येक अनुरोध के साथ भेजती है। इन क्रेडेंशियल्स को Base64 में एन्कोड किया जाता है, जिससे वे इंटरसेप्ट होने पर पठनीय हो जाते हैं।
संस्करण 2.6.0 BasicAuthentication को डिफ़ॉल्ट रूप से अक्षम करके भेद्यता को ठीक करता है, जिससे अनधिकृत पहुंच का जोखिम काफी कम हो जाता है।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो Django REST Framework कॉन्फ़िगरेशन में BasicAuthentication को स्पष्ट रूप से अक्षम करें और API अनुमतियों की समीक्षा करें।
API एंडपॉइंट पर दर सीमित करें और दो-कारक प्रमाणीकरण (2FA) का उपयोग करने पर विचार करें।
आप CVE प्रविष्टि में इस भेद्यता के बारे में अधिक जानकारी पा सकते हैं: CVE-2026-33152।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।