JVNDB-2026-009527

tandoorのrecipesにおけるメタデータのよる重要な情報の公開に関する脆弱性

Tandoor Recipesはレシピの管理、食事の計画、買い物リストの作成を行うアプリケーションです。バージョン2.6.0以前では、Tandoor Recipesの画像処理パイプラインはWebPおよびGIF画像形式に対してEXIFメタデータの削除、画像のリスケーリング、およびサイズ検証を明示的にスキップしていました。ソースコード内の開発者用TODOコメントにより、これは既知の問題であると認識されていました。その結果、ユーザーがWebP形式（現代のスマートフォンカメラのデフォルト形式）でレシピ写真をアップロードすると、GPS座標、カメラモデル、タイムスタンプ、ソフトウェア情報などの機密性の高いEXIFデータが保存され、レシピを閲覧できるすべてのユーザーに提供されてしまうという問題が生じていました。バージョン2.6.0でこの問題は修正されました。

tandoor

• recipes 2.6.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : WebP and GIF Image Uploads Bypass EXIF/Metadata Stripping, Leaking GPS Coordinates and PII  Advisory  TandoorRecipes/recipes  GitHub

1. メタデータのよる重要な情報の公開(CWE-1230) [その他]

1. CVE-2026-29055

1. National Vulnerability Database (NVD) : CVE-2026-29055
2. 関連文書 : Release 2.6.0 Households and Pantry  TandoorRecipes/recipes  GitHub

• [2026年04月01日]
    掲載