漏洞概述 标题: SQLite数据库在Tandoor Recipes模块的默认设置下外部可访问 发布者: LeSuisse CVE ID: CVE-2026-23838 严重性: 高 (CVSS v4 base metrics: 8.7/10) 影响 受影响版本: 23.05, 23.11, 24.05, 24.11, 25.05, 25.11 修复版本: 26.05 整改开发者: Scrumpolex 问题类型: CWE-538 (明文存储敏感数据) 根因分析 NixOS模块配置Tandoor Recipes的工作目录与MEDIA_ROOT值为 相同,导致Tandoor Recipes在相同的目录中创建 数据库文件,使得数据库文件可以通过HTTP与任何其他媒体文件一样被外部访问,无需认证。 使用 或使用nginx等Web服务器提供媒体文件时存在该问题。 修复措施 NixOS 26.05 将默认值 更改为数据目录的子文件夹。仅适用于 的配置。 NixOS 25.11 收到了此修复的回溯,但仍需要用户干预才能修复此漏洞。 工作原理 / 补救措施 推荐: 将 移至子目录 1. 停止当前运行的服务: 2. 创建一个媒体文件夹: 3. 将现有媒体移动到新路径: 4. 设置 在NixOS配置中 (如果 则不需要此步骤)。 5. 如果未使用 ,请相应地更新反向代理/Web服务器配置。 6. 重建和切换! 不推荐: 切换到PostgreSQL数据库,这需要迁移现有数据库并移除或删除 文件。 参考 初始问题: #338339 NixOS不稳定 26.05 修复: #427845 NixOS 25.11 回溯: #481140 文档: https://nixos.org/manual/nixos/unstable/#module-services-tandoor-recipes-migrating-media