CVE-2026-43948 in wgerinformación

Resumen

por VulDB • 2026-05-12

wger es un gestor de entrenamiento y fitness gratuito y de código abierto. Antes de la versión 2.6, las vistas `reset_user_password` y `gym_permissions_user_edit` en wger realizan una comprobación de autorización a nivel de gimnasio utilizando una comparación de objetos de Python (!=) que evalúa `None != None` como `False`, omitiendo silenciosamente la protección cuando tanto el atacante como la víctima no tienen asignación de gimnasio (`gym=None`). Un usuario con el permiso `gym.manage_gym` y `gym=None` puede restablecer la contraseña de cualquier otro usuario con `gym=None`; la nueva contraseña en texto plano se devuelve literalmente en el cuerpo de la respuesta HTML, lo que permite una toma de control completa de la cuenta en un solo paso. La contraseña original de la víctima se invalida, bloqueándola de forma permanente. Esta vulnerabilidad se corrige en la versión 2.6.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-04

Divulgación

2026-05-13

Moderación

aceptado

Artículo

VDB-363413

CPE

listo

EPSS

0.00013

KEV

no

Actividades

muy bajo

Sector

Government, Insurance, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43948
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43948
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43948/

AnteriorVisión De ConjuntoPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!