Katalog CVE

CVE-2026-33152

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Tandoor Recipes to aplikacja do zarządzania przepisami, planowania posiłków i tworzenia list zakupów. W wersjach przed 2.6.0, aplikacja konfiguruje Django REST Framework z BasicAuthentication jako jednym z domyślnych mechanizmów uwierzytelniania, co pozwala na ataki typu brute force bez ograniczeń.

Ocena ryzyka

Organizacja jest narażona na ataki związane z odgadywaniem haseł, ponieważ brak jest limitów prób logowania dla API, co może prowadzić do nieautoryzowanego dostępu do kont użytkowników.

Rekomendacja

Zaleca się aktualizację do wersji 2.6.0 lub nowszej, aby załatać tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczeń, takich jak ograniczenia prób logowania dla API.

Oryginalny opis (angielski, źródło NVD)

Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versions prior to 2.6.0, Tandoor Recipes configures Django REST Framework with BasicAuthentication as one of the default authentication backends. The AllAuth rate limiting configuration (ACCOUNT_RATE_LIMITS: login: 5/m/ip) only applies to the HTML-based login endpoint at /accounts/login/. Any API endpoint that accepts authenticated requests can be targeted via Authorization: Basic headers with zero rate limiting, zero account lockout, and unlimited attempts. An attacker can perform high-speed password guessing against any known username. Version 2.6.0 patches the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS