CVE-2026-43977 in wger
요약
\~에 의해 VulDB • 2026. 07. 18.
wger은 무료 및 오픈소스 운동 및 피트니스 관리 도구입니다. 버전 2.6 이전에서는 인증된 모든 사용자가 자신이 소유하지 않은 루틴에 대해 /logs/ 및 /stats/ 액션을 호출하여 다른 사용자의 비공개 운동 세션 노트, 운동 이력 및 훈련 통계를 읽을 수 있습니다. 이 취약점은 RoutineViewSet(wger/manager/api/views.py)에서 발생합니다. 해당 뷰는 요청한 사용자의 자신의 훈련 이력을 반환하도록 의도된 두 가지 사용자 정의 액션인 /logs/ 및 /stats/를 정의합니다. 그러나 하위 권한 확인(RoutinePermission.has_object_permission)은 루틴의 is_template=True일 경우 소유 여부와 관계없이 모든 인증된 사용자에게 읽기 액세스를 부여합니다. 공격자가 소유하지 않은 루틴에 대해 /logs/ 또는 /stats/ 액션이 호출되면, 공격자의 데이터가 아닌 해당 루틴 소유자의 비공개 운동 이력이 반환됩니다. 이 문제는 버전 2.6에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.