CVE-2026-27838

Nome do Software Vulnerável e Versões Afetadas Versões do wger anteriores a 2.4

Descrição O software apresenta uma falha em que os endpoints de ação de detalhe de rotina verificam um cache antes de confirmar a propriedade do objeto usando self.get object(). As chaves de cache são definidas apenas pela chave primária (pk) e não incluem o ID do usuário. Isso permite que um atacante recupere respostas em cache para a chave primária de uma rotina sem autorização adequada, caso a vítima tenha acessado anteriormente a rotina por meio da API. Os endpoints da API afetados são: '/api/v2/routine/{pk}/date-sequence-display/', '/api/v2/routine/{pk}/date-sequence-gym/', '/api/v2/routine/{pk}/structure/', '/api/v2/routine/{pk}/logs/' e '/api/v2/routine/{pk}/stats/'. A variável vulnerável utilizada na construção da chave de cache é routine id. Um atacante pode, potencialmente, recuperar detalhes da rotina de outro usuário, incluindo sequências de dias de treino, estrutura de exercícios, logs de treinamento e estatísticas, do cache sem verificação de propriedade. O tempo de vida (TTL) do cache é de um mês.

Recomendações Versões anteriores a 2.4: Inclua o ID do usuário na construção da chave de cache para identificar exclusivamente as respostas em cache de cada usuário. Alternativamente, mova a chamada da função self.get object() antes da consulta ao cache para garantir que a propriedade seja sempre verificada primeiro.