Mealie是一个自助托管的食谱管理器和餐饮计划程序。在1.4.0版本之前，scrape_image功能将根据用户提供的URL检索图像，然而提供的URL没有经过验证指向外部位置并且没有实施强制速率限制。Mealie服务器的响应也将根据目标文件是否为图像、不是图像或不存在而有所不同。此外，当检索文件时，文件可能会保留在Mealie的文件系统中，以原始.jpg的形式存储在请求它的食谱的UUID下。如果攻击者能够访问管理员帐户（例如默认的changeme@example.com），那么这个文件可以被检索出来。请注意，如果Mealie在开发环境中运行，攻击者可以利用这一漏洞来检索Mealie服务器以这种方式下载的任何文件，而无需管理员访问权限。此漏洞已在1.4.0版本中修复。