平台
php
组件
tandoor-recipes
修复版本
2.6.6
CVE-2026-27460 是 Tandoor Recipes 应用中的一个拒绝服务 (DoS) 漏洞。该漏洞允许经过身份验证的用户通过上传大型 ZIP 文件(ZIP Bomb)来导致服务器崩溃或性能显著下降。该漏洞影响 Tandoor Recipes 版本 1.0.0 到 2.6.5 之间。幸运的是,此漏洞已在 2.6.5 版本中修复。
Tandoor Recipes是一款用于管理食谱、计划膳食和创建购物清单的流行应用程序,受到已知的CVE-2026-27460漏洞的影响,这是一个关键的拒绝服务(DoS)漏洞。此漏洞存在于食谱导入功能中。经过身份验证的用户可以通过上传大型ZIP文件(通常称为“ZIP炸弹”)来利用此漏洞。上传此文件可能导致服务器完全崩溃或性能显著下降,从而阻止其他用户访问该应用程序。根据CVSS系统,此漏洞的严重程度评分为6.5。成功利用此漏洞可能会扰乱大量用户的膳食计划和食谱管理操作。
通过通过食谱导入功能发送专门设计的ZIP文件(“ZIP炸弹”)来利用此漏洞。虽然该文件在外观上可能很小,但其内部结构在解压缩时会呈指数级增长,从而消耗大量服务器资源(CPU、内存、磁盘)。Tandoor Recipes应用程序中的经过身份验证的用户可以执行此操作。利用此漏洞的难度相对较低,因为它只需要经过身份验证的访问权限和上传文件的能力。由于食谱导入功能是一个常见且广泛使用的功能,因此利用的可能性很高。
漏洞利用状态
EPSS
0.05% (14% 百分位)
CISA SSVC
CVSS 向量
解决此漏洞的方法是将Tandoor Recipes更新到2.6.5或更高版本。此更新包含必要的修复程序,以减轻通过导入恶意ZIP文件而导致的DoS攻击风险。强烈建议所有用户尽快更新其应用程序,以防止潜在攻击。此外,实施额外的安全措施,例如限制允许上传的最大文件大小以及在处理之前验证ZIP文件,可以帮助防止未来的类似攻击。保持软件更新是任何系统安全的基本实践。
Actualice el plugin Tandoor Recipes a la versión 2.6.5 o superior para mitigar la vulnerabilidad de denegación de servicio. Esta actualización aborda el problema al validar el tamaño de los archivos importados, previniendo que archivos ZIP maliciosos causen una sobrecarga en el servidor.
漏洞分析和关键警报直接发送到您的邮箱。
“ZIP炸弹”是一种ZIP文件,其内部结构设计为在解压缩时扩展到非常大的尺寸,从而消耗系统资源。
如果您使用的是Tandoor Recipes 2.6.5之前的版本,则您会受到影响。请检查您的应用程序版本并立即更新。
如果您怀疑您的服务器遭到攻击,请将其与网络断开,并联系Tandoor Recipes支持。
虽然不是理想的解决方案,但您可以尝试限制服务器上允许上传的最大文件大小。
您可以在应用程序的官方网站上下载Tandoor Recipes的最新版本。