CVE-2026-43977 in wgerinformación

Resumen

por VulDB • 2026-07-17

wger es un gestor de entrenamiento y fitness gratuito y de código abierto. En las versiones anteriores a la 2.6, cualquier usuario autenticado puede leer las notas privadas de sesiones de entrenamiento, el historial de ejercicios y las estadísticas de formación de otro usuario llamando a los puntos finales /logs/ y /stats/ en una rutina que no le pertenece. La vulnerabilidad existe en RoutineViewSet (wger/manager/api/views.py). Esta vista define dos acciones personalizadas, /logs/ y /stats/, destinadas a devolver datos correspondientes al historial de entrenamiento propio del usuario solicitante dentro de una rutina. Sin embargo, la comprobación de permisos subyacente (RoutinePermission.has_object_permission) concede acceso de lectura a cualquier usuario autenticado cuando la rutina tiene is_template=True, independientemente de su titularidad. Cuando se invocan las acciones /logs/ o /stats/ contra una rutina que el atacante no posee, estas devuelven el historial privado de entrenamiento del propietario y no el del atacante. Este problema ha sido corregido en la versión 2.6.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-05-04

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379680

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!