CVE-2026-43977 in wger
الملخص
بحسب VulDB • 17/07/2026
wger هو مدير تمارين ولياقة بدنية مجاني ومفتوح المصدر. في الإصدارات السابقة لـ 2.6، يمكن لأي مستخدم مُصادَق عليه قراءة ملاحظات جلسات التمرين الخاصة للمستخدم الآخر وسجل التمارين والإحصائيات التدريبية عن طريق استدعاء الإجراءات /logs/ و/stats/ على روتين لا يملكه المهاجم. يوجد الثغرة في RoutineViewSet (wger/manager/api/views.py). يعرف العرض إجراءً مخصصًا واحدًا هو /logs/ وآخر هو /stats/، وكلاهما مُصمم لإرجاع البيانات الخاصة بسجل التدريب الخاص بالمستخدم الذي أرسل الطلب ضمن روتين معين. ومع ذلك، فإن فحص الأذونات الأساسي (RoutinePermission.has_object_permission) يمنح حق القراءة لأي مستخدم مُصادَق عليه عندما يكون الروتين is_template=True، بغض النظر عن ملكية الروتين. عند استدعاء الإجراءات /logs/ أو /stats/ على روتين لا يملكه المهاجم، يتم إرجاع سجل التمرين الخاص بالمالك بدلاً من سجل المهاجم. تم إصلاح هذه المشكلة في الإصدار 2.6.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.