JVNDB-2026-009501

tandoorのrecipesにおけるインジェクションに関する脆弱性

Tandoor Recipesは、レシピ管理、食事計画、および買い物リスト作成のためのアプリケーションです。バージョン2.6.0以前では、FDC（USDA FoodData Central）検索エンドポイントが、ユーザーが提供する`query`パラメータをURLエンコードせずにURL文字列に直接挿入して上流APIのURLを構築していました。攻撃者は、クエリ値に`&`文字を含めることで追加のURLパラメータを注入でき、これによりAPIキーが上書きされ、上流クエリの動作が操作され、不正なリクエストによってサーバーがクラッシュし（HTTP 500）、サービス拒否（DoS）状態を引き起こす可能性があります。バージョン2.6.0でこの問題は修正されました。

tandoor

• recipes 2.6.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : URL Parameter Injection in FDC Food Search API Causes Server Crash and Exposes Internal API Key  Advisory  TandoorRecipes/recipes  GitHub

1. インジェクション(CWE-74) [その他]

1. CVE-2026-33148

1. National Vulnerability Database (NVD) : CVE-2026-33148

• [2026年04月01日]
    掲載