CVE-2026-27839

Nome do Software Vulnerável e Versões Afetadas Versões do wger anteriores a 2.4

Descrição O wger é um gerenciador de treinos e fitness gratuito e de código aberto. Existe uma falha em que três endpoints de ação nutritional values contornam querysets escopados por usuário por meio de uma chamada ORM bruta, especificamente Model.objects.get(pk=pk). Isso permite que qualquer usuário autenticado acesse os dados privados do plano de nutrição de outro usuário, incluindo ingestão calórica e distribuição de macronutrientes, ao fornecer uma chave primária (pk) arbitrária. A falha foi corrigida no commit 29876a1954fe959e4b58ef070170e81703dab60e.

Recomendações Atualize para uma versão posterior a 2.4.