製品・ソフトウェアに関する情報
Vulnerability Search
tandoorのrecipesにおけるHTTP ヘッダのスクリプト構文の不適切な無効化に関する脆弱性
Title tandoorのrecipesにおけるHTTP ヘッダのスクリプト構文の不適切な無効化に関する脆弱性
Summary

Tandoor Recipesは、レシピ管理、食事計画、および買い物リスト作成のためのアプリケーションです。バージョン2.5.3まで(含む)は、デフォルトでALLOWED_HOSTSが '*' に設定されており、これによりDjangoはHTTP Hostヘッダーの値を検証せずに受け入れてしまいます。このアプリケーションは、招待リンクのメール、APIのページネーション、OpenAPIスキーマ生成など複数のコンテキストで、request.build_absolute_uri()を使って絶対URLを生成しています。攻撃者が細工したHostヘッダーを含むリクエストをアプリケーションに送信できる場合、サーバーが生成するすべての絶対URLを操作することが可能です。最も深刻な影響は招待リンクの改ざんであり、管理者が招待を作成しアプリケーションが招待メールを送信する際に、リンクが本物のアプリケーションではなく攻撃者のサーバーを指すことになります。被害者がリンクをクリックすると、招待トークンは攻撃者に送信され、その後攻撃者が本物のアプリケーションでそのトークンを使用できます。公開時点では、修正バージョンの存在は不明です。

Possible impacts 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date March 26, 2026, midnight
Registration Date April 24, 2026, 11:30 a.m.
Last Update April 24, 2026, 11:30 a.m.
CVSS3.0 : 重要
Score 8.1
Vector CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:N
Affected System
tandoor
recipes 2.5.3 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年04月24日]
  掲載		 April 24, 2026, 11:30 a.m.
NVD Vulnerability Information
CVE-2026-33149
Summary

Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. Versions up to and including 2.5.3 set ALLOWED_HOSTS = '*' by default, which causes Django to accept any value in the HTTP Host header without validation. The application uses request.build_absolute_uri() to generate absolute URLs in multiple contexts, including invite link emails, API pagination, and OpenAPI schema generation. An attacker who can send requests to the application with a crafted Host header can manipulate all server-generated absolute URLs. The most critical impact is invite link poisoning: when an admin creates an invite and the application sends the invite email, the link points to the attacker's server instead of the real application. When the victim clicks the link, the invite token is sent to the attacker, who can then use it at the real application. As of time of publication, it is unknown if a patched version is available.

Summary

Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de la compra. Las versiones hasta la 2.5.3 inclusive establecen ALLOWED_HOSTS = '*' por defecto, lo que provoca que Django acepte cualquier valor en la cabecera HTTP Host sin validación. La aplicación utiliza request.build_absolute_uri() para generar URLs absolutas en múltiples contextos, incluyendo correos electrónicos de enlaces de invitación, paginación de la API y generación de esquemas OpenAPI. Un atacante que pueda enviar solicitudes a la aplicación con una cabecera Host manipulada puede manipular todas las URLs absolutas generadas por el servidor. El impacto más crítico es el envenenamiento de enlaces de invitación: cuando un administrador crea una invitación y la aplicación envía el correo electrónico de invitación, el enlace apunta al servidor del atacante en lugar de a la aplicación real. Cuando la víctima hace clic en el enlace, el token de invitación se envía al atacante, quien luego puede usarlo en la aplicación real. En el momento de la publicación, se desconoce si hay una versión parcheada disponible.

Publication Date March 27, 2026, 4:17 a.m.
Registration Date April 27, 2026, 12:20 p.m.
Last Update April 24, 2026, 12:11 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:tandoor:recipes:*:*:*:*:*:*:*:* 2.5.3
Related information, measures and tools
Common Vulnerabilities List