CRITICAL🇬🇧 English

CVE-2026-33152

Brak ograniczenia prób logowania przez Basic Auth w Tandoor Recipes

CVSS 9.1v3.1pub. 2026-03-26upd. 2026-03-30

Tandoor Recipes w wersjach przed 2.6.0 nie stosuje żadnego rate limitingu ani blokady konta dla uwierzytelniania przez nagłówek Authorization: Basic na endpointach API. Umożliwia to atakującemu przeprowadzenie nieograniczonego ataku brute-force na hasła użytkowników.

Pokaż oryginał (EN)

Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versions prior to 2.6.0, Tandoor Recipes configures Django REST Framework with BasicAuthentication as one of the default authentication backends. The AllAuth rate limiting configuration (ACCOUNT_RATE_LIMITS: login: 5/m/ip) only applies to the HTML-based login endpoint at /accounts/login/. Any API endpoint that accepts authenticated requests can be targeted via Authorization: Basic headers with zero rate limiting, zero account lockout, and unlimited attempts. An attacker can perform high-speed password guessing against any known username. Version 2.6.0 patches the issue.

🤖 Analiza AI
Jak działa

Aplikacja korzysta z Django REST Framework skonfigurowanego z BasicAuthentication jako jednym z domyślnych backendów uwierzytelniania. Mechanizm rate limitingu AllAuth (5 prób na minutę na adres IP) działa wyłącznie dla endpointu HTML /accounts/login/ i nie obejmuje endpointów API. Atakujący może więc kierować żądania HTTP z nagłówkiem Authorization: Basic do dowolnego chronionego endpointu API, wykonując nieograniczoną liczbę prób zgadnięcia hasła bez ryzyka blokady konta lub spowolnienia.

Skutki

Atakujący znający nazwę użytkownika może przeprowadzić szybki atak brute-force i przejąć kontrolę nad kontem, uzyskując pełen dostęp do danych (C:H) oraz możliwość modyfikacji zasobów (I:H) bez żadnych ograniczeń po stronie serwera.

Mitygacja

Należy zaktualizować Tandoor Recipes do wersji 2.6.0, która zawiera poprawkę eliminującą podatność. Szczegóły dostępne w referencjach producenta na GitHub.

Kogo dotyczy

Tandoor Recipes w wersjach wcześniejszych niż 2.6.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Tandoor Recipes

    APP
    Tandoor
    < 2.6.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-23211CRITICAL9.9PL ✓ten sam produkt

Tandoor Recipes: SSTI w Jinja2 umożliwia RCE każdemu zalogowanemu użytkownikowi

CVE-2026-35489HIGH7.3ten sam produkt

Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. Prior to ...

CVE-2026-35488HIGH8.1ten sam produkt

Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. Prior to ...

CVE-2026-35045HIGH8.1ten sam produkt

Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. Prior to ...

CVE-2026-33153HIGH7.7ten sam produkt

Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versio...