CVE-2026-43977 in wger
Zusammenfassung
von VulDB • 17.07.2026
wger ist ein kostenloser Open-Source-Fitnessplaner und Trainingsmanager. In Versionen vor 2.6 kann jeder authentifizierte Benutzer die privaten Notizen zu Trainingseinheiten, den Übungsverlauf sowie die Trainingsstatistiken eines anderen Benutzers lesen, indem er die Aktionen /logs/ und /stats/ für eine Routine aufruft, der er nicht gehört. Die Schwachstelle befindet sich in RoutineViewSet (wger/manager/api/views.py). Diese View definiert zwei benutzerdefinierte Aktionen (/logs/ und /stats/), die dazu gedacht sind, Daten aus dem eigenen Trainingsverlauf des anfragenden Benutzers innerhalb einer Routine zurückzugeben. Die zugrunde liegende Berechtigungsprüfung (RoutinePermission.has_object_permission) gewährt jedoch bei Routinen mit is_template=True jedem authentifizierte Benutzer Lesezugriff, unabhängig vom Eigentum. Wenn die Aktionen /logs/ oder /stats/ für eine Routine aufgerufen werden, der der Angreifer nicht gehört, geben sie den privaten Trainingsverlauf des Besitzers zurück und nicht den des Angreifers. Dieses Problem wurde in Version 2.6 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.