Plataforma
python
Componente
recipes
Corrigido em
2.6.1
CVE-2026-33152 é uma falha de segurança no Tandoor Recipes que permite ataques de força bruta ilimitados devido à configuração inadequada do Django REST Framework. Isso pode levar à exposição de dados sensíveis e comprometer contas de usuário. A vulnerabilidade afeta versões anteriores à 2.6.0. A versão 2.6.0 corrige essa falha.
A vulnerabilidade CVE-2026-33152 no Tandoor Recipes afeta versões anteriores a 2.6.0. O aplicativo configura o Django REST Framework com BasicAuthentication como um dos backends de autenticação padrão. Embora o AllAuth implemente limitação de taxa para o endpoint de login baseado em HTML (/accounts/login/), este mecanismo não se aplica aos endpoints de API. Um atacante pode explorar isso enviando solicitações autenticadas para qualquer endpoint de API usando cabeçalhos de autenticação Basic (Authorization: Basic <nome de usuário:senha codificados em Base64>). Isso pode levar ao acesso não autorizado a dados confidenciais, modificação de receitas, manipulação de listas de compras ou até mesmo ações executadas em nome de outros usuários, dependendo das permissões atribuídas aos endpoints de API.
A exploração desta vulnerabilidade é relativamente direta, pois o BasicAuthentication é amplamente conhecido e as ferramentas para gerar cabeçalhos de autorização Basic estão prontamente disponíveis. A falta de limitação de taxa nos endpoints de API permite que um atacante faça um grande número de tentativas de autenticação em um curto período. A vulnerabilidade é particularmente grave se o aplicativo for usado para armazenar informações confidenciais ou se os usuários tiverem privilégios administrativos.
Organizations and individuals using Tandoor Recipes for recipe management and meal planning are at risk, particularly those relying on the application's API for integration with other services. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to access to other users' data.
• python / server:
# Check for Tandoor Recipes version
python -c "import tandoor_recipes; print(tandoor_recipes.__version__)"• generic web:
# Check for API endpoints accepting Basic Authentication
curl -u 'user:password' https://<target>/api/recipes• generic web:
# Check access logs for repeated failed authentication attempts
grep "401 Unauthorized" /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar o Tandoor Recipes para a versão 2.6.0 ou posterior. Esta versão corrige a vulnerabilidade desativando o BasicAuthentication por padrão. Como medida adicional, desative explicitamente o BasicAuthentication na configuração do Django REST Framework, mesmo que você tenha atualizado para a versão 2.6.0. Além disso, revise e fortaleça os controles de acesso aos endpoints de API para garantir que apenas usuários autorizados possam acessá-los. Implementar autenticação de dois fatores (2FA) pode fornecer uma camada adicional de segurança.
Actualice Tandoor Recipes a la versión 2.6.0 o superior. Esta versión corrige la vulnerabilidad de fuerza bruta al implementar limitación de velocidad en la autenticación básica. La actualización evitará que atacantes adivinen contraseñas a alta velocidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
BasicAuthentication é um esquema de autenticação HTTP que transmite as credenciais do usuário (nome de usuário e senha) com cada solicitação. Essas credenciais são codificadas em Base64, tornando-as legíveis se interceptadas.
A versão 2.6.0 corrige a vulnerabilidade desativando o BasicAuthentication por padrão, reduzindo significativamente o risco de acesso não autorizado.
Se você não puder atualizar imediatamente, desative explicitamente o BasicAuthentication na configuração do Django REST Framework e revise as permissões da API.
Implemente a limitação de taxa nos endpoints de API e considere usar a autenticação de dois fatores (2FA).
Você pode encontrar mais informações sobre esta vulnerabilidade na entrada CVE: CVE-2026-33152.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.