Platform
python
Component
recipes
Opgelost in
2.6.1
CVE-2026-33152 is een kritieke kwetsbaarheid in Tandoor Recipes vóór versie 2.6.0, waardoor een aanvaller onbeperkte API-aanvallen kan uitvoeren. Dit komt doordat de Django REST Framework BasicAuthentication niet correct is beveiligd, waardoor rate limiting en account lockout worden omzeild. Een aanvaller kan hierdoor misbruik maken van API endpoints zonder beperkingen. De kwetsbaarheid is opgelost in versie 2.6.0.
De CVE-2026-33152-kwetsbaarheid in Tandoor Recipes treft versies vóór 2.6.0. De applicatie configureert Django REST Framework met BasicAuthentication als een van de standaard authenticatie backends. Hoewel AllAuth rate limiting implementeert voor het HTML-gebaseerde login endpoint (/accounts/login/), is dit mechanisme niet van toepassing op API-endpoints. Een aanvaller kan dit misbruiken door geauthenticeerde verzoeken naar elk API-endpoint te sturen met behulp van Basic Authentication headers (Authorization: Basic <gebruikersnaam:wachtwoord gecodeerd in Base64>). Dit kan leiden tot ongeautoriseerde toegang tot gevoelige gegevens, wijziging van recepten, manipulatie van winkel lijsten of zelfs acties die namens andere gebruikers worden uitgevoerd, afhankelijk van de toegestane rechten op de API-endpoints.
Het exploiteren van deze kwetsbaarheid is relatief eenvoudig, aangezien BasicAuthentication wijdverbreid is en tools om Basic-autorisatiedheaders te genereren gemakkelijk beschikbaar zijn. Het ontbreken van rate limiting op API-endpoints stelt een aanvaller in staat om in korte tijd een groot aantal authenticatiepogingen te doen. De kwetsbaarheid is vooral ernstig als de applicatie wordt gebruikt om vertrouwelijke informatie op te slaan of als gebruikers administratieve rechten hebben.
Organizations and individuals using Tandoor Recipes for recipe management and meal planning are at risk, particularly those relying on the application's API for integration with other services. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to access to other users' data.
• python / server:
# Check for Tandoor Recipes version
python -c "import tandoor_recipes; print(tandoor_recipes.__version__)"• generic web:
# Check for API endpoints accepting Basic Authentication
curl -u 'user:password' https://<target>/api/recipes• generic web:
# Check access logs for repeated failed authentication attempts
grep "401 Unauthorized" /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om Tandoor Recipes te updaten naar versie 2.6.0 of hoger. Deze versie lost de kwetsbaarheid op door BasicAuthentication standaard uit te schakelen. Als extra maatregel schakelt u BasicAuthentication expliciet uit in de Django REST Framework-configuratie, zelfs als u al bent bijgewerkt naar versie 2.6.0. Controleer en versterk bovendien toegangscontroles voor API-endpoints om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben. Het implementeren van two-factor authenticatie (2FA) kan een extra beveiligingslaag bieden.
Actualice Tandoor Recipes a la versión 2.6.0 o superior. Esta versión corrige la vulnerabilidad de fuerza bruta al implementar limitación de velocidad en la autenticación básica. La actualización evitará que atacantes adivinen contraseñas a alta velocidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
BasicAuthentication is een HTTP-authenticatieschema dat gebruikersgegevens (gebruikersnaam en wachtwoord) met elk verzoek verzendt. Deze gegevens worden Base64-gecodeerd, waardoor ze leesbaar zijn als ze worden onderschept.
Versie 2.6.0 lost de kwetsbaarheid op door BasicAuthentication standaard uit te schakelen, waardoor het risico op ongeautoriseerde toegang aanzienlijk wordt verminderd.
Als u niet onmiddellijk kunt updaten, schakelt u BasicAuthentication expliciet uit in de Django REST Framework-configuratie en controleert u de API-rechten.
Implementeer rate limiting op API-endpoints en overweeg two-factor authenticatie (2FA) te gebruiken.
U kunt meer informatie over deze kwetsbaarheid vinden in de CVE-entry: CVE-2026-33152.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.