Tandoor Recipes — приложение для управления рецептами, планирования блюд и составления списков покупок. В версиях до 2.6.0 действие `SyncViewSet.query_synced_folder()` в `cookbook/views/api.py` (строка 903) извлекает объект Sync с помощью `get_object_or_404(Sync, pk=pk)` без включения `space=request.space` в фильтр. Это позволяет пользователю с правами администратора в пространстве A запускать операции синхронизации (импорт Dropbox/Nextcloud/Local) для конфигураций синхронизации, принадлежащих пространству B, и просматривать полученные журналы синхронизации.
Версия 2.6.0 исправляет проблему.
Показать оригинальное описание (EN)
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versions prior to 2.6.0, the `SyncViewSet.query_synced_folder()` action in `cookbook/views/api.py` (line 903) fetches a Sync object using `get_object_or_404(Sync, pk=pk)` without including `space=request.space` in the filter. This allows an admin user in Space A to trigger sync operations (Dropbox/Nextcloud/Local import) on Sync configurations belonging to Space B, and view the resulting sync logs. Version 2.6.0 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Tandoor Recipes
cpe:2.3:a:tandoor:recipes:*:*:*:*:*:*:*:*
|
— |
2.6.0
|