CVE-2025-23211
Tandoor Recipes - SSTI - Remote Code Execution
Em resumo
Tandoor Recipes possui uma falha que permite qualquer usuário executar código perigoso no servidor através de uma injeção em templates. Isso pode dar aos atacantes controle total da aplicação e do computador que a executa.
Detalhe técnico
Uma vulnerabilidade de injeção SSTI (Server-Side Template Injection) em Jinja2 no Tandoor Recipes permite que usuários injetem código malicioso em templates, resultando em execução de comandos arbitrários com os privilégios do processo da aplicação (potencialmente root em ambientes containerizados). A falha ocorre no processamento de templates sem sanitização adequada de entrada.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. A Jinja2 SSTI vulnerability allows any user to execute commands on the server. In the case of the provided Docker Compose file as root. This vulnerability is fixed in 1.5.24.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
TandoorRecipes · recipesQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/TandoorRecipes/recipes/blob/4f9bff20c858180d0f7376de443a9fe4c123a50c/cookbook/helper/template_helper.py#L95https://github.com/TandoorRecipes/recipes/commit/e6087d5129cc9d0c24278948872377e66c2a2c20https://github.com/TandoorRecipes/recipes/security/advisories/GHSA-r6rj-h75w-vj8v