CVE-2026-35489

Name of the Vulnerable Software and Affected Versions Tandoor Recipes versões anteriores a 2.6.4

Description Tandoor Recipes é uma aplicação para gerenciar receitas, planejar refeições e criar listas de compras. O endpoint POST /api/food/{id}/shopping/ lê os valores de amount e unit diretamente dos dados da requisição e os passa sem validação para ShoppingListEntry.objects.create(). Valores de amount inválidos (strings não numéricas) causam uma exceção não tratada e um erro HTTP 500. Um ID de unit de um Space diferente pode ser associado entre Spaces, expondo referências de chave estrangeira entre limites de locatários. Todos os outros endpoints que criam ShoppingListEntry usam ShoppingListEntrySerializer, que valida e higieniza esses campos.

Recommendations Atualize para a versão 2.6.4 ou posterior.