CVE-2026-28503Tandoor Recipes是一款用于管理食谱和膳食计划的应用。在2.6.0之前的版本中,cookbook/views/api.py文件的SyncViewSet.query_synced_folder()操作存在安全缺陷。该操作在获取Sync对象时未包含space=request.space过滤器,导致Space A的管理员用户可以触发属于Space B的同步操作(如Dropbox、Nextcloud或本地导入),并查看同步日志。该漏洞可能导致敏感数据泄露或数据完整性受损。
该漏洞位于Tandoor Recipes的API视图处理逻辑中。在cookbook/views/api.py文件的第903行,SyncViewSet.query_synced_folder()方法使用了get_object_or_404(Sync, pk=pk)来获取同步对象。关键问题在于查询条件中仅使用了主键pk,而未对请求所属的space(空间)进行校验,即缺失了space=request.space这一关键过滤条件。由于Tandoor Recipes支持多租户或空间隔离机制,这种缺失导致了一个越权漏洞。攻击者只要拥有任一空间的管理员权限(PR:H),即可通过遍历或猜测Sync对象的ID,触发其他空间(Space B)的同步配置。利用方式包括向受影响的API端点发送包含目标Sync ID的请求,从而执行外部存储的同步操作或读取同步日志,导致机密性(C:H)和完整性(I:H)受到影响。