Plataforma
python
Componente
recipes
Corrigido em
2.5.2
Uma vulnerabilidade SSRF (Server-Side Request Forgery) foi descoberta no Tandoor Recipes, uma aplicação para gerenciar receitas e listas de compras. Essa falha, presente em versões até 2.5.1, permite que usuários autenticados, mesmo sem privilégios administrativos, forcem o servidor a realizar requisições para destinos arbitrários. A vulnerabilidade reside no arquivo cookbook/integration/cookmate.py, na classe Cookmate integration, e afeta a funcionalidade de importação de receitas Cookmate.
A exploração bem-sucedida desta vulnerabilidade SSRF permite que um atacante force o servidor Tandoor Recipes a realizar requisições para qualquer URL, tanto interna quanto externamente. Isso pode levar ao acesso não autorizado a recursos internos, como bancos de dados, servidores de arquivos ou APIs internas, que normalmente não seriam acessíveis diretamente pela internet. Além disso, um atacante pode usar a vulnerabilidade para realizar ataques de varredura de rede interna, coletando informações sobre os serviços e sistemas em execução na rede. A falta de validação adequada da URL após redirecionamentos HTTP torna a exploração relativamente simples, aumentando o risco de ataques.
Esta vulnerabilidade foi divulgada em 2026-02-13. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. Não foram identificados Proof of Concepts (PoCs) públicos, mas a natureza da vulnerabilidade SSRF a torna potencialmente explorável se a aplicação for exposta à internet.
Organizations using Tandoor Recipes for recipe management and meal planning are at risk, particularly those with standard users who have access to the Cookmate recipe import feature. Shared hosting environments where multiple users share the same Tandoor Recipes instance are also at increased risk, as a compromised user account could be used to exploit the vulnerability.
• python / server:
# Check for vulnerable versions
python -c 'import tandoor_recipes; print(tandoor_recipes.__version__)'• generic web:
# Check for Cookmate integration endpoint
curl -I http://your-tandoor-recipes-server/cookbook/integration/cookmate.pydisclosure
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização para a versão 2.5.1 do Tandoor Recipes, que corrige a falha SSRF. Se a atualização imediata não for possível, considere implementar regras de firewall ou proxy para restringir as requisições que o servidor Tandoor Recipes pode fazer. Implementar validação rigorosa da URL de destino, verificando se ela corresponde a um domínio esperado e evitando redirecionamentos HTTP, pode ajudar a mitigar o risco. Monitore os logs do servidor em busca de requisições suspeitas para URLs externas ou internas inesperadas.
Atualize Tandoor Recipes para a versão 2.5.1 ou superior. Esta versão contém a correção para a vulnerabilidade SSRF. A atualização pode ser realizada através do painel de administração do aplicativo ou seguindo as instruções de atualização fornecidas pelo fornecedor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-25991 é uma vulnerabilidade SSRF que permite a usuários autenticados forçar o servidor Tandoor Recipes a se conectar a recursos arbitrários, afetando versões até 2.5.1.
Se você estiver utilizando uma versão do Tandoor Recipes anterior a 2.5.1, você está potencialmente afetado por esta vulnerabilidade.
A correção é atualizar para a versão 2.5.1 do Tandoor Recipes. Se a atualização não for imediata, implemente regras de firewall para restringir requisições.
Não há informações disponíveis sobre exploração ativa no momento da publicação, mas a vulnerabilidade é potencialmente explorável.
Consulte o site oficial do Tandoor Recipes ou os canais de comunicação da equipe de desenvolvimento para obter o advisory oficial.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.