CVE-2026-43977 in wgerinformação

Sumário

de VulDB • 17/07/2026

wger é um gerenciador de treinos e fitness gratuito e de código aberto. Nas versões anteriores à 2.6, qualquer usuário autenticado pode ler as anotações privadas das sessões de treino, o histórico de exercícios e as estatísticas de treinamento de outro usuário ao chamar as ações /logs/ e /stats/ em uma rotina que não possui. A vulnerabilidade existe no RoutineViewSet (wger/manager/api/views.py). A view define duas ações personalizadas, /logs/ e /stats/, destinadas a retornar dados do próprio histórico de treinos do usuário solicitante dentro de uma rotina. No entanto, o controle de permissão subjacente (RoutinePermission.has_object_permission) concede acesso de leitura a qualquer usuário autenticado quando a rotina possui is_template=True, independentemente da propriedade. Quando as ações /logs/ ou /stats/ são invocadas contra uma rotina que o atacante não possui, elas retornam o histórico privado de treinos do proprietário, e não o do atacante. Este problema foi corrigido na versão 2.6.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

04/05/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379680

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!