CVE-2026-27835

Nome do Software Vulnerável e Versões Afetadas versões do wger anteriores à 2.4

Descrição O wger é um gerenciador de treinos e fitness gratuito e de código aberto. Versões até e incluindo a 2.4 manipulam incorretamente a recuperação de dados do usuário. Os endpoints de API RepetitionsConfigViewSet e MaxRepetitionsConfigViewSet retornam os dados de configuração de repetições de todos os usuários porque a função get queryset() chama .all() em vez de filtrar pelo usuário autenticado (user). Isso permite que qualquer usuário registrado enumere a estrutura de treino de todos os outros usuários. Os endpoints de API envolvidos são RepetitionsConfigViewSet e MaxRepetitionsConfigViewSet. A função vulnerável é get queryset().

Recomendações Atualize para uma versão posterior à 2.4.