CVE-2026-43977 in wger情報

要約

〜によって VulDB • 2026年07月17日

wgerは、無料のオープンソースであるワークアウトおよびフィットネス管理ツールです。バージョン2.6より前のバージョンでは、認証済みユーザーであれば誰でも、所有していないルーティンに対して/logs/および/stats/アクションを呼び出すことで、他のユーザーのプライベートなワークアウトセッションノート、運動履歴、トレーニング統計を読み取ることができます。この脆弱性はRoutineViewSet (wger/manager/api/views.py) に存在します。このビューは、リクエスト元のユーザー自身のトレーニング履歴データを返すことを意図した2つのカスタムアクション/logs/および/stats/を定義しています。しかし、基盤となる権限チェック(RoutinePermission.has_object_permission)では、ルーティンがis_template=Trueの場合、所有関係にかかわらず認証済みユーザーに読み取りアクセスを許可してしまいます。攻撃者が所有していないルーティンに対して/logs/または/stats/アクションが呼び出されると、攻撃者自身のデータではなく所有者のプライベートなワークアウト履歴が返されます。この問題はバージョン2.6で修正されています。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2026年05月04日

モデレーション

承諾済み

エントリ

VDB-379680

EPSS

0.00000

アクティビティ

低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!