CVE-2026-33152
CriticalSummary
Tandoor Recipes to aplikacja do zarządzania przepisami, planowania posiłków i tworzenia list zakupów. W wersjach przed 2.6.0, aplikacja konfiguruje Django REST Framework z BasicAuthentication jako jednym z domyślnych mechanizmów uwierzytelniania, co pozwala na ataki typu brute force bez ograniczeń.
Risk Assessment
Organizacja jest narażona na ataki związane z odgadywaniem haseł, ponieważ brak jest limitów prób logowania dla API, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników.
Recommendation
Zaleca się aktualizację do wersji 2.6.0 lub nowszej, aby załatać tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczeń, takich jak ograniczenia prób logowania dla API.
Original NVD description (English source)
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versions prior to 2.6.0, Tandoor Recipes configures Django REST Framework with BasicAuthentication as one of the default authentication backends. The AllAuth rate limiting configuration (ACCOUNT_RATE_LIMITS: login: 5/m/ip) only applies to the HTML-based login endpoint at /accounts/login/. Any API endpoint that accepts authenticated requests can be targeted via Authorization: Basic headers with zero rate limiting, zero account lockout, and unlimited attempts. An attacker can perform high-speed password guessing against any known username. Version 2.6.0 patches the issue.

