製品・ソフトウェアに関する情報
Vulnerability Search
wger Projectのwgerにおける複数の脆弱性
Title wger Projectのwgerにおける複数の脆弱性
Summary

wgerは無料のオープンソースのワークアウトおよびフィットネスマネージャーです。バージョン2.5およびそれ以下では、GymConfigUpdateViewはpermission_required = 'config.change_gymconfig'を宣言していますが、WgerPermissionMixinではなくWgerFormMixinを継承しているため、実行時に権限が強制されません。GymConfigは所有者のないシングルトンであり、認証済みの任意のユーザーがグローバルなジム設定を変更できます。また、保存()の副作用によりユーザープロファイルのジム割り当てが一括更新されます。これにより、インストール全体の設定制御に対する垂直的な権限昇格が引き起こされます。この問題はバージョン2.5で修正されています。

Possible impacts 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 17, 2026, midnight
Registration Date April 27, 2026, 10:48 a.m.
Last Update April 27, 2026, 10:48 a.m.
CVSS3.0 : 重要
Score 7.6
Vector CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:L
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年04月27日]
  掲載		 April 27, 2026, 10:48 a.m.
NVD Vulnerability Information
CVE-2026-40474
Summary

wger is a free, open-source workout and fitness manager. In versions 2.5 and below, the GymConfigUpdateView declares permission_required = 'config.change_gymconfig' but inherits WgerFormMixin instead of WgerPermissionMixin, so the permission is never enforced at runtime. Since GymConfig is an ownerless singleton, any authenticated user can modify the global gym configuration, triggering save() side effects that bulk-update user profile gym assignments — a vertical privilege escalation to installation-wide configuration control. This issue is fixed in version 2.5.

Publication Date April 18, 2026, 7:16 a.m.
Registration Date April 19, 2026, 4:08 a.m.
Last Update April 24, 2026, 11:46 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:wger:wger:*:*:*:*:*:*:*:* 2.5
Related information, measures and tools
Common Vulnerabilities List