CVE-2026-43977 in wger
要約
〜によって VulDB • 2026年07月17日
wgerは、無料のオープンソースであるワークアウトおよびフィットネス管理ツールです。バージョン2.6より前のバージョンでは、認証済みユーザーであれば誰でも、所有していないルーティンに対して/logs/および/stats/アクションを呼び出すことで、他のユーザーのプライベートなワークアウトセッションノート、運動履歴、トレーニング統計を読み取ることができます。この脆弱性はRoutineViewSet (wger/manager/api/views.py) に存在します。このビューは、リクエスト元のユーザー自身のトレーニング履歴データを返すことを意図した2つのカスタムアクション/logs/および/stats/を定義しています。しかし、基盤となる権限チェック(RoutinePermission.has_object_permission)では、ルーティンがis_template=Trueの場合、所有関係にかかわらず認証済みユーザーに読み取りアクセスを許可してしまいます。攻撃者が所有していないルーティンに対して/logs/または/stats/アクションが呼び出されると、攻撃者自身のデータではなく所有者のプライベートなワークアウト履歴が返されます。この問題はバージョン2.6で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.