Tandoor Recipes is an application for managing recipes, planning meals, and building shopping lists. In versions prior to 2.6.0, Tandoor Recipes configures Django REST Framework with BasicAuthentication as one of the default authentication backends. The AllAuth rate limiting configuration (ACCOUNT_RATE_LIMITS: login: 5/m/ip) only applies to the HTML-based login endpoint at /accounts/login/. Any API endpoint that accepts authenticated requests can be targeted via Authorization: Basic headers with zero rate limiting, zero account lockout, and unlimited attempts. An attacker can perform high-speed password guessing against any known username. Version 2.6.0 patches the issue.
Tandoor Recipes versions before 2.6.0 lack rate limiting on API endpoints using BasicAuthentication, allowing attackers to perform unlimited password guessing attacks against known usernames. The vulnerability bypasses AllAuth's login rate limiting which only protects the HTML-based endpoint, exposing all API endpoints to brute force attacks.
يحتوي تطبيق Tandoor Recipes على ثغرة في المصادقة حيث يتم تكوين Django REST Framework مع BasicAuthentication كخيار افتراضي دون تطبيق تحديد معدل على نقاط النهاية. يمكن للمهاجمين استهداف أي نقطة نهاية API بطلبات غير محدودة باستخدام رؤوس Authorization: Basic لتخمين كلمات المرور. الإصدار 2.6.0 يصحح هذه المشكلة من خلال تطبيق تحديد معدل مناسب على جميع نقاط النهاية.
تطبيق Tandoor Recipes الإصدارات السابقة للإصدار 2.6.0 تفتقر إلى تحديد معدل على نقاط نهاية API باستخدام المصادقة الأساسية، مما يسمح للمهاجمين بإجراء هجمات تخمين كلمات المرور غير المحدودة ضد أسماء المستخدمين المعروفة. يتجاوز الثغرة تحديد معدل تسجيل الدخول في AllAuth الذي يحمي فقط نقطة النهاية المستندة إلى HTML.
Upgrade Tandoor Recipes to version 2.6.0 or later immediately. Implement rate limiting on all API endpoints accepting BasicAuthentication requests. Configure account lockout policies after failed login attempts. Disable BasicAuthentication if not required and use token-based authentication instead. Monitor API logs for suspicious authentication patterns and brute force attempts.
قم بترقية Tandoor Recipes إلى الإصدار 2.6.0 أو أحدث فوراً. تطبيق تحديد معدل على جميع نقاط نهاية API التي تقبل طلبات المصادقة الأساسية. تكوين سياسات قفل الحساب بعد محاولات تسجيل الدخول الفاشلة. تعطيل المصادقة الأساسية إذا لم تكن مطلوبة واستخدام المصادقة القائمة على الرموز بدلاً من ذلك. مراقبة سجلات API للأنماط المريبة ومحاولات القوة الغاشمة.