CRITICALCVE-2026-33152CVSS 9.1

CVE-2026-33152 Tandoor Recipes 身份验证绕过漏洞，已修复

Q: CVE-2026-33152 是什么 — Tandoor Recipes 中的漏洞？

BasicAuthentication是一种HTTP身份验证方案，它使用户的凭据（用户名和密码）随每个请求一起传输。这些凭据使用Base64编码，如果被拦截，则可读。

Q: Tandoor Recipes 中的 CVE-2026-33152 是否会影响我？

版本2.6.0通过默认禁用BasicAuthentication来修复漏洞，从而大大降低了未经授权访问的风险。

Q: 如何修复 Tandoor Recipes 中的 CVE-2026-33152？

如果您无法立即更新，请在Django REST Framework配置中明确禁用BasicAuthentication，并审查API权限。

Q: CVE-2026-33152 是否正在被积极利用？

在API端点上实施速率限制，并考虑使用双因素身份验证（2FA）。

Q: 在哪里可以找到 Tandoor Recipes 关于 CVE-2026-33152 的官方安全通告？

您可以在CVE条目中找到有关此漏洞的更多信息：CVE-2026-33152。

平台

python

组件

recipes

修复版本

2.6.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-33152 涉及 Tandoor Recipes 中的一个安全漏洞，该漏洞允许攻击者绕过身份验证速率限制。由于 AllAuth 速率限制配置仅应用于 HTML 登录端点，攻击者可以针对接受身份验证请求的任何 API 端点。受影响的版本为 2.6.0 之前，开发人员已在 2.6.0 版本中修复了此问题。

影响与攻击场景

Tandoor Recipes中的CVE-2026-33152漏洞影响2.6.0之前的版本。该应用程序使用Django REST Framework配置BasicAuthentication作为默认身份验证后端之一。虽然AllAuth对HTML登录端点(/accounts/login/)实现了速率限制，但此机制不适用于API端点。攻击者可以通过使用Basic身份验证标头（Authorization: Basic <base64编码的用户名：密码>）向任何API端点发送经过身份验证的请求来利用此漏洞。这可能导致对敏感数据的未经授权的访问、食谱修改、购物清单操作，甚至代表其他用户执行操作，具体取决于分配给API端点的权限。

利用背景

利用此漏洞相对简单，因为BasicAuthentication广为人知，并且生成Basic授权标头的工具很容易获得。API端点上缺乏速率限制允许攻击者在短时间内进行大量的身份验证尝试。如果应用程序用于存储敏感信息或用户具有管理权限，则此漏洞尤其严重。

哪些人处于风险中翻译中…

Organizations and individuals using Tandoor Recipes for recipe management and meal planning are at risk, particularly those relying on the application's API for integration with other services. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one user's account could potentially lead to access to other users' data.

检测步骤翻译中…

• python / server:

# Check for Tandoor Recipes version
python -c "import tandoor_recipes; print(tandoor_recipes.__version__)"

• generic web:

# Check for API endpoints accepting Basic Authentication
curl -u 'user:password' https://<target>/api/recipes

• generic web:

# Check access logs for repeated failed authentication attempts
grep "401 Unauthorized" /var/log/apache2/access.log

攻击时间线

2026-03-26Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告4 份威胁报告

EPSS

0.07% (22% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响total

受影响的软件

组件recipes

供应商TandoorRecipes

影响范围修复版本

< 2.6.0 – < 2.6.02.6.1

弱点分类 (CWE)

CWE-307

时间线

已保留2026-03-17
发布日期2026-03-26
EPSS 更新日期2026-04-03

缓解措施和替代方案

推荐的解决方案是将Tandoor Recipes更新到2.6.0或更高版本。此版本通过默认禁用BasicAuthentication来修复漏洞。作为额外的措施，即使您已更新到2.6.0版本，也应在Django REST Framework配置中明确禁用BasicAuthentication。此外，审查并加强对API端点的访问控制，以确保只有授权用户才能访问它们。实施双因素身份验证（2FA）可以提供额外的安全层。

修复方法

将 Tandoor Recipes 更新到 2.6.0 或更高版本。 此版本通过在基本身份验证中实施速率限制来修复暴力破解漏洞。 更新将防止攻击者高速猜测密码。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-33152 是什么 — Tandoor Recipes 中的漏洞？