Plataforma
php
Componente
tandoor-recipes
Corrigido em
2.6.6
O Tandoor Recipes é um aplicativo para gerenciar receitas, planejar refeições e criar listas de compras. Uma vulnerabilidade de Denial of Service (DoS) foi identificada na funcionalidade de importação de receitas, permitindo que usuários autenticados causem uma degradação significativa do desempenho ou até mesmo o crash do servidor ao enviar arquivos ZIP grandes. Essa vulnerabilidade afeta as versões 1.0.0 até 2.6.5 e foi corrigida na versão 2.6.5.
Tandoor Recipes, um aplicativo popular para gerenciar receitas, planejar refeições e criar listas de compras, foi afetado por uma vulnerabilidade crítica de Negação de Serviço (DoS) identificada como CVE-2026-27460. Essa vulnerabilidade reside na funcionalidade de importação de receitas. Um usuário autenticado pode explorá-la enviando um arquivo ZIP de grande tamanho, comumente conhecido como 'ZIP Bomb'. O envio desse arquivo pode causar o travamento completo do servidor ou uma degradação significativa no desempenho, impedindo que outros usuários acessem o aplicativo. A gravidade dessa vulnerabilidade é classificada como 6,5 de acordo com o sistema CVSS. A exploração bem-sucedida pode interromper as operações de planejamento de refeições e gerenciamento de receitas para um grande número de usuários.
A vulnerabilidade é explorada enviando um arquivo ZIP especialmente elaborado, um 'ZIP Bomb', por meio da função de importação de receitas. Este arquivo, embora possa parecer pequeno em tamanho aparente, contém uma estrutura interna que se expande exponencialmente quando descompactado, consumindo uma grande quantidade de recursos do servidor (CPU, memória, disco). Um usuário autenticado dentro do aplicativo Tandoor Recipes pode realizar essa ação. A dificuldade de exploração é relativamente baixa, pois requer apenas acesso autenticado e a capacidade de enviar um arquivo. A probabilidade de exploração é alta, dado que a funcionalidade de importação de receitas é um recurso comum e amplamente utilizado.
Status do Exploit
EPSS
0.05% (percentil 14%)
CISA SSVC
Vetor CVSS
A solução para essa vulnerabilidade é atualizar o Tandoor Recipes para a versão 2.6.5 ou posterior. Essa atualização inclui as correções necessárias para mitigar o risco de ataques de DoS por meio da importação de arquivos ZIP maliciosos. Recomenda-se fortemente que todos os usuários atualizem seu aplicativo o mais rápido possível para se proteger contra possíveis ataques. Além disso, a implementação de medidas de segurança adicionais, como limitar o tamanho máximo dos arquivos permitidos para upload e validar os arquivos ZIP antes do processamento, pode ajudar a prevenir futuros ataques semelhantes. Manter o software atualizado é uma prática fundamental para a segurança do sistema.
Actualice el plugin Tandoor Recipes a la versión 2.6.5 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta actualización aborda el problema al validar el tamaño de los archivos importados, previniendo que archivos ZIP maliciosos causen una sobrecarga en el servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um 'ZIP Bomb' é um arquivo ZIP que contém uma estrutura interna projetada para se expandir para um tamanho extremamente grande quando descompactado, consumindo recursos do sistema.
Se você estiver usando uma versão do Tandoor Recipes anterior à 2.6.5, você está vulnerável. Verifique a versão do seu aplicativo e atualize-o imediatamente.
Se você suspeitar que seu servidor foi atacado, desconecte-o da rede e entre em contato com o suporte do Tandoor Recipes.
Embora não seja ideal, você pode tentar limitar o tamanho máximo dos arquivos permitidos para upload no servidor.
Você pode baixar a versão mais recente do Tandoor Recipes do site oficial do aplicativo.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.