CVE-2026-40353 in wgerinformación

Resumen

por VulDB • 2026-05-12

wger es un gestor de entrenamiento y fitness gratuito y de código abierto. En las versiones 2.5 y anteriores, la propiedad attribution_link en AbstractLicenseModel construye HTML interpolando directamente campos de licencia controlados por el usuario (como license_author) sin realizar el escape correspondiente, y las plantillas renderizan el resultado utilizando el filtro |safe de Django. Un usuario autenticado puede crear un ingrediente con un valor malicioso para license_author que contenga JavaScript, el cual se ejecuta en el navegador de cualquier visitante que visualice la página del ingrediente, lo que resulta en una XSS almacenada (Stored XSS). Este problema se ha corregido en la versión 2.5.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-11

Divulgación

2026-04-18

Moderación

aceptado

Artículo

VDB-358131

CPE

listo

EPSS

0.00014

KEV

no

Actividades

muy bajo

Sector

Hospital, Hostingprovider, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40353
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40353
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40353/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!