CVE-2026-40474 in wger
要約
〜によって VulDB • 2026年06月02日
wgerは、無料のオープンソースのワークアウトおよびフィットネス管理ツールです。バージョン2.5およびそれ以前のバージョンでは、GymConfigUpdateViewはpermission_required = 'config.change_gymconfig'を宣言していますが、WgerPermissionMixinではなくWgerFormMixinを継承しているため、実行時に権限が適用されません。GymConfigは所有者を持たないシングルトンであるため、認証済みユーザーはグローバルなジム設定を変更でき、save()の副作用によってユーザープロファイルのジム割り当てが一括更新されます。これは、インストール全体の設定制御に対する垂直方向の権限昇格です。この問題はバージョン2.5で修正されました。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.