Platform
php
Component
tandoor-recipes
Opgelost in
2.6.6
Tandoor Recipes is een applicatie voor het beheren van recepten, maaltijdplanning en het maken van boodschappenlijstjes. Een kritieke Denial of Service (DoS) kwetsbaarheid is ontdekt in de functie voor het importeren van recepten. Door het uploaden van een groot ZIP-bestand, zoals een ZIP Bomb, kan een geauthenticeerde gebruiker de server laten crashen of de prestaties aanzienlijk verminderen. Deze kwetsbaarheid treft versies 1.0.0 tot en met 2.6.4, en is verholpen in versie 2.6.5.
Tandoor Recipes, een populaire applicatie voor het beheren van recepten, het plannen van maaltijden en het maken van boodschappenlijstjes, is getroffen door een kritieke Denial-of-Service (DoS) kwetsbaarheid, geïdentificeerd als CVE-2026-27460. Deze kwetsbaarheid bevindt zich in de receptimportfunctionaliteit. Een geauthenticeerde gebruiker kan deze uitbuiten door een ZIP-bestand van grote omvang te uploaden, algemeen bekend als een 'ZIP-bom'. Het uploaden van dit bestand kan ertoe leiden dat de server volledig crasht of een aanzienlijke prestatievermindering ervaart, waardoor andere gebruikers geen toegang meer hebben tot de applicatie. De ernst van deze kwetsbaarheid wordt beoordeeld als 6,5 volgens het CVSS-systeem. Een succesvolle exploitatie kan de maaltijdplanning en het beheer van recepten voor een groot aantal gebruikers verstoren.
De kwetsbaarheid wordt uitgebuit door een speciaal ontworpen ZIP-bestand, een 'ZIP-bom', te verzenden via de receptimportfunctie. Dit bestand, dat in ogenschouw klein lijkt, bevat een interne structuur die exponentieel groter wordt wanneer het wordt uitgepakt, waardoor een grote hoeveelheid serverresources (CPU, geheugen, schijf) wordt verbruikt. Een geauthenticeerde gebruiker binnen de Tandoor Recipes-applicatie kan deze actie uitvoeren. De moeilijkheidsgraad van de exploitatie is relatief laag, aangezien het slechts geauthenticeerde toegang en de mogelijkheid vereist om een bestand te uploaden. De kans op exploitatie is groot, aangezien de receptimportfunctionaliteit een veelvoorkomende en veelgebruikte functie is.
Exploit Status
EPSS
0.05% (14% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om Tandoor Recipes te updaten naar versie 2.6.5 of hoger. Deze update bevat de nodige fixes om het risico op DoS-aanvallen via het importeren van kwaadaardige ZIP-bestanden te beperken. Het wordt ten zeerste aanbevolen dat alle gebruikers hun applicatie zo snel mogelijk bijwerken om zich te beschermen tegen potentiële aanvallen. Bovendien kan het implementeren van aanvullende beveiligingsmaatregelen, zoals het beperken van de maximale bestandsgrootte die is toegestaan voor uploads en het valideren van ZIP-bestanden voordat ze worden verwerkt, helpen om toekomstige soortgelijke aanvallen te voorkomen. Het up-to-date houden van software is een fundamentele praktijk voor systeembeveiliging.
Actualice el plugin Tandoor Recipes a la versión 2.6.5 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta actualización aborda el problema al validar el tamaño de los archivos importados, previniendo que archivos ZIP maliciosos causen una sobrecarga en el servidor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een 'ZIP-bom' is een ZIP-bestand dat een interne structuur bevat die is ontworpen om bij het uitpakken tot een extreem grote grootte uit te breiden en systeemresources te verbruiken.
Als u een versie van Tandoor Recipes gebruikt die vóór 2.6.5 is uitgebracht, bent u kwetsbaar. Controleer de versie van uw applicatie en werk deze onmiddellijk bij.
Als u vermoedt dat uw server is aangevallen, koppel deze dan los van het netwerk en neem contact op met de Tandoor Recipes-ondersteuning.
Hoewel dit niet ideaal is, kunt u proberen de maximale bestandsgrootte die is toegestaan voor uploads op de server te beperken.
U kunt de nieuwste versie van Tandoor Recipes downloaden van de officiële website van de applicatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.