製品・ソフトウェアに関する情報
脆弱性検索
tandoorのrecipesにおけるHTTP ヘッダのスクリプト構文の不適切な無効化に関する脆弱性
タイトル tandoorのrecipesにおけるHTTP ヘッダのスクリプト構文の不適切な無効化に関する脆弱性
概要

Tandoor Recipesは、レシピ管理、食事計画、および買い物リスト作成のためのアプリケーションです。バージョン2.5.3まで(含む)は、デフォルトでALLOWED_HOSTSが '*' に設定されており、これによりDjangoはHTTP Hostヘッダーの値を検証せずに受け入れてしまいます。このアプリケーションは、招待リンクのメール、APIのページネーション、OpenAPIスキーマ生成など複数のコンテキストで、request.build_absolute_uri()を使って絶対URLを生成しています。攻撃者が細工したHostヘッダーを含むリクエストをアプリケーションに送信できる場合、サーバーが生成するすべての絶対URLを操作することが可能です。最も深刻な影響は招待リンクの改ざんであり、管理者が招待を作成しアプリケーションが招待メールを送信する際に、リンクが本物のアプリケーションではなく攻撃者のサーバーを指すことになります。被害者がリンクをクリックすると、招待トークンは攻撃者に送信され、その後攻撃者が本物のアプリケーションでそのトークンを使用できます。公開時点では、修正バージョンの存在は不明です。

想定される影響 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 
対策

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年3月26日0:00
登録日 2026年4月24日11:30
最終更新日 2026年4月24日11:30
CVSS3.0 : 重要
スコア 8.1
ベクター CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N
影響を受けるシステム
tandoor
recipes 2.5.3 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
1 [2026年04月24日]
  掲載		 2026年4月24日11:30
NVD脆弱性情報
CVE-2026-33149
概要

Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. Versions up to and including 2.5.3 set ALLOWED_HOSTS = '*' by default, which causes Django to accept any value in the HTTP Host header without validation. The application uses request.build_absolute_uri() to generate absolute URLs in multiple contexts, including invite link emails, API pagination, and OpenAPI schema generation. An attacker who can send requests to the application with a crafted Host header can manipulate all server-generated absolute URLs. The most critical impact is invite link poisoning: when an admin creates an invite and the application sends the invite email, the link points to the attacker's server instead of the real application. When the victim clicks the link, the invite token is sent to the attacker, who can then use it at the real application. As of time of publication, it is unknown if a patched version is available.

概要

Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de la compra. Las versiones hasta la 2.5.3 inclusive establecen ALLOWED_HOSTS = '*' por defecto, lo que provoca que Django acepte cualquier valor en la cabecera HTTP Host sin validación. La aplicación utiliza request.build_absolute_uri() para generar URLs absolutas en múltiples contextos, incluyendo correos electrónicos de enlaces de invitación, paginación de la API y generación de esquemas OpenAPI. Un atacante que pueda enviar solicitudes a la aplicación con una cabecera Host manipulada puede manipular todas las URLs absolutas generadas por el servidor. El impacto más crítico es el envenenamiento de enlaces de invitación: cuando un administrador crea una invitación y la aplicación envía el correo electrónico de invitación, el enlace apunta al servidor del atacante en lugar de a la aplicación real. Cuando la víctima hace clic en el enlace, el token de invitación se envía al atacante, quien luego puede usarlo en la aplicación real. En el momento de la publicación, se desconoce si hay una versión parcheada disponible.

公表日 2026年3月27日4:17
登録日 2026年4月27日12:20
最終更新日 2026年4月24日0:11
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:tandoor:recipes:*:*:*:*:*:*:*:* 2.5.3
関連情報、対策とツール
共通脆弱性一覧