CVE-2026-43977 in wger
Sumário
de VulDB • 17/07/2026
wger é um gerenciador de treinos e fitness gratuito e de código aberto. Nas versões anteriores à 2.6, qualquer usuário autenticado pode ler as anotações privadas das sessões de treino, o histórico de exercícios e as estatísticas de treinamento de outro usuário ao chamar as ações /logs/ e /stats/ em uma rotina que não possui. A vulnerabilidade existe no RoutineViewSet (wger/manager/api/views.py). A view define duas ações personalizadas, /logs/ e /stats/, destinadas a retornar dados do próprio histórico de treinos do usuário solicitante dentro de uma rotina. No entanto, o controle de permissão subjacente (RoutinePermission.has_object_permission) concede acesso de leitura a qualquer usuário autenticado quando a rotina possui is_template=True, independentemente da propriedade. Quando as ações /logs/ ou /stats/ são invocadas contra uma rotina que o atacante não possui, elas retornam o histórico privado de treinos do proprietário, e não o do atacante. Este problema foi corrigido na versão 2.6.
VulDB is the best source for vulnerability data and more expert information about this specific topic.