プラットフォーム
python
コンポーネント
recipes
修正版
2.6.1
Tandoor Recipesは、レシピ管理、食事計画、買い物リスト作成アプリケーションです。CVE-2026-33152は、2.6.0より前のバージョンにおける認証不備を指します。認証制限がないため、攻撃者はアカウントをロックアウトされることなく、APIエンドポイントに対して高速ブルートフォース攻撃を実行できます。影響を受けるのは2.6.0より前のバージョンです。バージョン2.6.0でこの脆弱性は修正されました。
Tandoor RecipesのCVE-2026-33152脆弱性は、2.6.0より前のバージョンに影響します。このアプリケーションは、Django REST FrameworkをBasicAuthenticationをデフォルトの認証バックエンドの1つとして構成しています。AllAuthはHTMLベースのログインエンドポイント(/accounts/login/)に対してレート制限を実装していますが、このメカニズムはAPIエンドポイントには適用されません。攻撃者は、Basic認証ヘッダー(Authorization: Basic <base64エンコードされたユーザー名:パスワード>)を使用して、任意のAPIエンドポイントに認証されたリクエストを送信することで、この脆弱性を悪用できます。これにより、機密データへの不正アクセス、レシピの変更、買い物リストの操作、またはAPIエンドポイントに割り当てられた権限に応じて、他のユーザーの代わりにアクションを実行することが可能になる可能性があります。
この脆弱性の悪用は比較的簡単です。BasicAuthenticationは広く知られており、Basic認証ヘッダーを生成するためのツールが容易に入手可能です。APIエンドポイントにおけるレート制限がないため、攻撃者は短期間で多数の認証試行を行うことができます。アプリケーションが機密情報を保存するために使用されている場合、またはユーザーが管理者権限を持っている場合に、この脆弱性は特に深刻です。
Organizations and individuals using Tandoor Recipes for recipe management and meal planning are at risk, particularly those relying on the application's API for integration with other services. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to access to other users' data.
• python / server:
# Check for Tandoor Recipes version
python -c "import tandoor_recipes; print(tandoor_recipes.__version__)"• generic web:
# Check for API endpoints accepting Basic Authentication
curl -u 'user:password' https://<target>/api/recipes• generic web:
# Check access logs for repeated failed authentication attempts
grep "401 Unauthorized" /var/log/apache2/access.logdisclosure
エクスプロイト状況
EPSS
0.07% (22% パーセンタイル)
CISA SSVC
推奨される解決策は、Tandoor Recipesをバージョン2.6.0以降に更新することです。このバージョンは、BasicAuthenticationをデフォルトで無効にすることで脆弱性を修正します。追加の対策として、バージョン2.6.0に更新した場合でも、Django REST Framework構成でBasicAuthenticationを明示的に無効にすることをお勧めします。さらに、APIエンドポイントへのアクセス制御を見直し、強化して、許可されたユーザーのみがアクセスできるようにする必要があります。二要素認証(2FA)を実装すると、追加のセキュリティレイヤーを提供できます。
Actualice Tandoor Recipes a la versión 2.6.0 o superior. Esta versión corrige la vulnerabilidad de fuerza bruta al implementar limitación de velocidad en la autenticación básica. La actualización evitará que atacantes adivinen contraseñas a alta velocidad.
脆弱性分析と重要アラートをメールでお届けします。
BasicAuthenticationは、HTTP認証スキームであり、ユーザーの認証情報(ユーザー名とパスワード)を各リクエストとともに送信します。これらの認証情報はBase64でエンコードされているため、傍受された場合、読み取り可能になります。
バージョン2.6.0は、BasicAuthenticationをデフォルトで無効にすることで脆弱性を修正し、不正アクセスリスクを大幅に軽減します。
すぐに更新できない場合は、Django REST Framework構成でBasicAuthenticationを明示的に無効にし、APIの権限を確認してください。
APIエンドポイントにレート制限を実装し、二要素認証(2FA)の使用を検討してください。
この脆弱性に関する詳細情報は、CVEエントリで入手できます:CVE-2026-33152。
CVSS ベクトル
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。