Platform
python
Component
recipes
Opgelost in
2.5.2
CVE-2026-25991 beschrijft een Blind Server-Side Request Forgery (SSRF) kwetsbaarheid in Tandoor Recipes, een applicatie voor receptenbeheer. Deze kwetsbaarheid stelt geauthenticeerde gebruikers in staat om het systeem te dwingen verbinding te maken met willekeurige interne of externe bronnen, ongeacht hun privileges. De kwetsbaarheid treedt op in versies van Tandoor Recipes tot en met 2.5.1. Een update naar versie 2.5.1 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Aanvallers kunnen interne services blootleggen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens, configuratiebestanden of zelfs de mogelijkheid om interne systemen te compromitteren. De Blind SSRF-aard van de kwetsbaarheid betekent dat de aanvaller mogelijk meerdere requests moet uitvoeren om de resultaten te bepalen, maar de impact blijft significant. Het is vergelijkbaar met scenario's waarbij interne API's of databases onbedoeld worden blootgesteld.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2026-02-13. Er is geen informatie beschikbaar over actieve exploitatiecampagnes of de aanwezigheid van een Proof-of-Concept (PoC) op KEV. De CVSS score van 7.7 (HIGH) duidt op een significant risico, en het is aan te raden om de kwetsbaarheid zo snel mogelijk te patchen.
Organizations using Tandoor Recipes for recipe management and meal planning are at risk, particularly those with standard users who have access to the Cookmate recipe import feature. Shared hosting environments where multiple users share the same Tandoor Recipes instance are also at increased risk, as a compromised user account could be used to exploit the vulnerability.
• python / server:
# Check for vulnerable versions
python -c 'import tandoor_recipes; print(tandoor_recipes.__version__)'• generic web:
# Check for Cookmate integration endpoint
curl -I http://your-tandoor-recipes-server/cookbook/integration/cookmate.pydisclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-25991 is het upgraden van Tandoor Recipes naar versie 2.5.1 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) die requests naar onbekende of potentieel schadelijke domeinen blokkeert. Controleer de configuratie van de Cookmate integratie om te verzekeren dat URL-validatie correct wordt uitgevoerd. Na de upgrade, bevestig de correctie door een Cookmate recept import te proberen met een URL naar een interne service en verifieer dat de request wordt geblokkeerd.
Werk Tandoor Recipes bij naar versie 2.5.1 of hoger. Deze versie bevat de correctie voor de SSRF kwetsbaarheid. De update kan worden uitgevoerd via het beheerpaneel van de applicatie of door de update-instructies van de leverancier te volgen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-25991 is een Blind Server-Side Request Forgery (SSRF) kwetsbaarheid in Tandoor Recipes, waardoor geauthenticeerde gebruikers interne of externe bronnen kunnen benaderen.
Ja, als u Tandoor Recipes gebruikt in versie 2.5.1 of lager, bent u kwetsbaar voor deze SSRF-kwetsbaarheid.
Upgrade Tandoor Recipes naar versie 2.5.1 of hoger. Implementeer een WAF als een tijdelijke workaround.
Er is momenteel geen bevestigd bewijs van actieve exploitatie, maar de hoge CVSS score vereist aandacht.
Raadpleeg de Tandoor Recipes website of documentatie voor het officiële security advisory met betrekking tot CVE-2026-25991.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.