Tandoor Recipes — приложение для управления рецептами, планирования блюд и составления списков покупок. В версиях до 2.6.0 конечная точка поиска FDC (USDA FoodData Central) создает восходящий URL-адрес API путем прямой интерполяции предоставленного пользователем параметра запроса в строку URL-адреса без кодирования URL-адреса. Злоумышленник может внедрить дополнительные параметры URL-адреса, включив символы `&` в значение запроса.
Это позволяет переопределить ключ API, манипулировать поведением восходящих запросов и вызывать сбои сервера (HTTP 500) из-за некорректных запросов — состояние отказа в обслуживании. Версия 2.6.0 исправляет проблему.
Показать оригинальное описание (EN)
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versions prior to 2.6.0, the FDC (USDA FoodData Central) search endpoint constructs an upstream API URL by directly interpolating the user-supplied `query` parameter into the URL string without URL-encoding. An attacker can inject additional URL parameters by including `&` characters in the query value. This allows overriding the API key, manipulating upstream query behavior, and causing server crashes (HTTP 500) via malformed requests — a Denial of Service condition. Version 2.6.0 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Tandoor Recipes
cpe:2.3:a:tandoor:recipes:*:*:*:*:*:*:*:*
|
— |
2.6.0
|