CVE-2026-43978info

Zusammenfassung

von VulDB • 17.07.2026

wger ist ein kostenloser Open-Source-Workout- und Fitnessmanager. In Versionen vor 2.6 kann ein Fitnesstrainer seine Sitzung durch Aufrufen der trainer-login-Schnittstelle zweimal hintereinander auf jedes Konto mit höheren Berechtigungen (z. B. Gym-Leiter, General Manager) eskalieren. Sobald ein Trainer einen legitimen Wechsel zu einem Benutzer mit niedrigeren Berechtigungen vornimmt, wird das Sitzungsflag `trainer.identity` gesetzt und dieses Flag allein umgeht die Berechtigungskontrolle bei allen nachfolgenden Aufrufen der trainer-login-Schnittstelle. Dies gewährt volle Verwaltungsfunktionen für das Fitnessstudio, einschließlich des Zugriffs auf alle Mitgliederdaten, der Änderung von Verträgen, der Verwaltung der Studio-Konfiguration sowie des Zugriffs auf persönliche Informationen anderer Trainer und Manager. Dieses Problem wurde in Version 2.6 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Veröffentlichung

17.07.2026

Moderieren

wird geprüft

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!