CVE-2026-35046

Name of the Vulnerable Software and Affected Versions Tandoor Recipes versões anteriores a 2.6.4

Description Tandoor Recipes permite que usuários autenticados injetem tags arbitrárias nas instruções de etapas da receita. O sanitizador bleach.clean() lista explicitamente a tag , permitindo que cargas úteis CSS não higienizadas sejam persistidas e servidas através da API. Clientes que consomem instructions markdown da API e o renderizam como HTML sem sanitização adicional executarão CSS controlado por um invasor, potencialmente habilitando redirecionamento de interface do usuário, sobreposições de phishing, desfiguração visual e exfiltração de dados baseada em CSS.

Recommendations Atualize para a versão 2.6.4 ou posterior.