CVE-2026-43977 in wgerالمعلومات

الملخص

بحسب VulDB • 17/07/2026

wger هو مدير تمارين ولياقة بدنية مجاني ومفتوح المصدر. في الإصدارات السابقة لـ 2.6، يمكن لأي مستخدم مُصادَق عليه قراءة ملاحظات جلسات التمرين الخاصة للمستخدم الآخر وسجل التمارين والإحصائيات التدريبية عن طريق استدعاء الإجراءات /logs/ و/stats/ على روتين لا يملكه المهاجم. يوجد الثغرة في RoutineViewSet (wger/manager/api/views.py). يعرف العرض إجراءً مخصصًا واحدًا هو /logs/ وآخر هو /stats/، وكلاهما مُصمم لإرجاع البيانات الخاصة بسجل التدريب الخاص بالمستخدم الذي أرسل الطلب ضمن روتين معين. ومع ذلك، فإن فحص الأذونات الأساسي (RoutinePermission.has_object_permission) يمنح حق القراءة لأي مستخدم مُصادَق عليه عندما يكون الروتين is_template=True، بغض النظر عن ملكية الروتين. عند استدعاء الإجراءات /logs/ أو /stats/ على روتين لا يملكه المهاجم، يتم إرجاع سجل التمرين الخاص بالمالك بدلاً من سجل المهاجم. تم إصلاح هذه المشكلة في الإصدار 2.6.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

04/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379680

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Interested in the pricing of exploits?

See the underground prices here!