目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1325

100%
请我们喝杯咖啡

CVE-2026-33152— Tandoor Recipes 安全漏洞

CVSS 9.1 · Critical EPSS 0.51% · P40

可能的 ATT&CK 技术 1AI

T1110 · Brute Force
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-33152 基础信息

漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Tandoor Recipes Vulnerable to Unrestricted Brute-Force via BasicAuthentication
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versions prior to 2.6.0, Tandoor Recipes configures Django REST Framework with BasicAuthentication as one of the default authentication backends. The AllAuth rate limiting configuration (ACCOUNT_RATE_LIMITS: login: 5/m/ip) only applies to the HTML-based login endpoint at /accounts/login/. Any API endpoint that accepts authenticated requests can be targeted via Authorization: Basic headers with zero rate limiting, zero account lockout, and unlimited attempts. An attacker can perform high-speed password guessing against any known username. Version 2.6.0 patches the issue.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
过多认证尝试的限制不恰当
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Tandoor Recipes 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Tandoor Recipes是Tandoor Recipes开源的一个用于管理食谱、计划膳食、建立购物清单等等的应用程序。 Tandoor Recipes 2.6.0之前版本存在安全漏洞,该漏洞源于Django REST Framework配置了BasicAuthentication作为默认身份验证后端,但速率限制仅适用于基于HTML的登录端点,可能导致攻击者对任何已知用户名进行高速密码猜测。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

神龙十问 — AI 深度分析

十问解析:根本原因、利用方式、修复建议、紧迫性。摘要免费,完整版需登录。

查看摘要 完整分析(登录)

受影响产品

厂商产品影响版本CPE订阅
TandoorRecipesrecipes < 2.6.0 -

二、漏洞 CVE-2026-33152 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC已实测靶场 高级
已在真实靶场复现成功· 下方是搭建环境并实际触发漏洞的真实录像。
复现录像为 Pro+ 专属
观看本 CVE 的完整沙箱构建 + 真实利用录像。限时 ¥499/月。
升级 Pro+
claude_code · 5505 chars
Pro+ 专属包含:
漏洞复现靶场录像(真实沙箱构建 + 触发,独家)
漏洞原理深度分析
触发条件与影响面
完整可执行 POC 代码
利用链与缓解建议
POC 打包下载
每月 100+ 条 AI 生成额度

三、漏洞 CVE-2026-33152 的情报信息

登录查看更多情报信息。

CVE-2026-33152 厂商安全公告 (1)

CVE-2026-33152 厂商页面 (1)

同批安全公告 · TandoorRecipes · 2026-03-26 · 共 6 条

CVE-2026-331498.1 HIGHTandoor Recipes 安全漏洞
CVE-2026-331486.5 MEDIUMTandoor Recipes 注入漏洞
CVE-2026-290555.3 MEDIUMTandoor Recipes 安全漏洞
CVE-2026-28503Tandoor Recipes 安全漏洞
CVE-2026-33153Tandoor Recipes SQL注入漏洞

IV. Related Vulnerabilities

Same product: recipes
Same vendor: TandoorRecipes
Same weakness: CWE-307

V. Comments for CVE-2026-33152

暂无评论

发表评论