Tandoor Recipes — приложение для управления рецептами, планирования блюд и составления списков покупок. В версиях до 2.6.0 конечная точка Recipe API предоставляет скрытый параметр запроса `?debug=true`, который возвращает полный выполняемый необработанный SQL-запрос, включая все имена таблиц, имена столбцов, отношения JOIN, условия WHERE (раскрывающие логику управления доступом) и идентификаторы многопользовательского пространства. Этот параметр работает, даже если Django DEBUG=False (рабочий режим) и доступен любому аутентифицированному пользователю независимо от его уровня привилегий.
This allows a low-privilege attacker to map the entire database schema and reverse-engineer the authorization model. Версия 2.6.0 исправляет проблему.
Показать оригинальное описание (EN)
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versions prior to 2.6.0, the Recipe API endpoint exposes a hidden `?debug=true` query parameter that returns the complete raw SQL query being executed, including all table names, column names, JOIN relationships, WHERE conditions (revealing access control logic), and multi-tenant space IDs. This parameter works even when Django's `DEBUG=False` (production mode) and is accessible to any authenticated user regardless of their privilege level. This allows a low-privilege attacker to map the entire database schema and reverse-engineer the authorization model. Version 2.6.0 patches the issue.
Характеристики атаки
Последствия
Строка CVSS v4.0