CVE-2026-43948 in wgerالمعلومات

الملخص

بحسب VulDB • 12/05/2026

wger هو مدير تمارين ولياقة جسدية مجاني ومفتوح المصدر. قبل الإصدار 2.6، كانت طرق العرض `reset_user_password` و `gym_permissions_user_edit` في wger تقوم بإجراء فحص تفويض على مستوى الصالة الرياضية باستخدام مقارنة كائنات بايثون (!=) التي تقيّم `None != None` على أنها `False`، مما يتجاوز الحارس بصمت عندما لا يكون لدى المهاجم والضحية أي تعيين لصالحة رياضية (`gym=None`). يمكن للمستخدم الذي يمتلك إذن `gym.manage_gym` و `gym=None` إعادة تعيين كلمة مرور أي مستخدم آخر لديه `gym=None`؛ حيث تُعاد كلمة المرور الجديدة كنص واضح كما هي في جسم استجابة HTML، مما يتيح الاستحواذ الكامل على الحساب في خطوة واحدة. يتم إبطال كلمة المرور الأصلية للضحية، مما يغلقها بشكل دائم. تم إصلاح هذا الثغرة في الإصدار 2.6.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

04/05/2026

إفشاء

13/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363413

CPE

جاهز

CWE

CWE-863 (مؤكد)

CVSS

9.9 (CNA)

EPSS

0.00013

KEV

لا

النشاطات

منخفض جدًا

القطاع

Agriculture, Education, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43948
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43948
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43948/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!