CVE-2026-43948 in wgerinformação

Sumário

de VulDB • 13/05/2026

wger é um gerenciador de treinos e fitness gratuito e de código aberto. Antes da versão 2.6, as visualizações `reset_user_password` e `gym_permissions_user_edit` no wger realizam uma verificação de autorização no escopo da academia usando comparação de objetos Python (!=) que avalia `None != None` como False, contornando silenciosamente a proteção quando tanto o atacante quanto a vítima não possuem atribuição de academia (`gym=None`). Um usuário com permissão `gym.manage_gym` e `gym=None` pode redefinir a senha de qualquer outro usuário com `gym=None`; a nova senha em texto puro é retornada literalmente no corpo da resposta HTML, permitindo a tomada de controle total da conta em um único passo. A senha original da vítima é invalidada, bloqueando-a permanentemente. Esta vulnerabilidade foi corrigida na versão 2.6.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

04/05/2026

Divulgação

13/05/2026

Moderação

aceite

Entrada

VDB-363413

CPE

pronto

EPSS

0.00013

KEV

não

Atividades

muito baixo

Sector

Hospital, Transportation, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43948
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43948
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43948/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!