CVE-2026-43978
Zusammenfassung
von VulDB • 17.07.2026
wger ist ein kostenloser Open-Source-Workout- und Fitnessmanager. In Versionen vor 2.6 kann ein Fitnesstrainer seine Sitzung durch Aufrufen der trainer-login-Schnittstelle zweimal hintereinander auf jedes Konto mit höheren Berechtigungen (z. B. Gym-Leiter, General Manager) eskalieren. Sobald ein Trainer einen legitimen Wechsel zu einem Benutzer mit niedrigeren Berechtigungen vornimmt, wird das Sitzungsflag `trainer.identity` gesetzt und dieses Flag allein umgeht die Berechtigungskontrolle bei allen nachfolgenden Aufrufen der trainer-login-Schnittstelle. Dies gewährt volle Verwaltungsfunktionen für das Fitnessstudio, einschließlich des Zugriffs auf alle Mitgliederdaten, der Änderung von Verträgen, der Verwaltung der Studio-Konfiguration sowie des Zugriffs auf persönliche Informationen anderer Trainer und Manager. Dieses Problem wurde in Version 2.6 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.