CVE-2026-35488

Name of the Vulnerable Software and Affected Versions Tandoor Recipes versões anteriores a 2.6.4

Description Tandoor Recipes é uma aplicação para gerenciar receitas, planejar refeições e criar listas de compras. O RecipeBookViewSet e o RecipeBookEntryViewSet usam CustomIsShared como uma classe de permissão. A função CustomIsShared.has object permission() incorretamente retorna True para todos os métodos HTTP (DELETE, PUT e PATCH) sem verificar se o método da requisição está dentro da lista de métodos seguros (SAFE METHODS). Isso permite que qualquer usuário na lista compartilhada de um RecipeBook o exclua ou modifique, apesar do acesso compartilhado ser destinado apenas à leitura.

Recommendations Atualize para a versão 2.6.4 ou posterior.