Zurück zur Liste

wger: cross-tenant account deletion / deactivation / activation by gym.manage_gym + gym=None — GHSA-MW8F-W6P8-XRF4

GitHub · GitHub · GHSA-MW8F-W6P8-XRF4

ID
GHSA-MW8F-W6P8-XRF4
Datum
Activity
Quelle
GitHub
Vendor
GitHub
Risiko
high
CVSS
8.5

Zusammenfassung

## Summary GHSA-mhc8-p3jx-84mm (CVE-2026-43948) reported that wger's `reset_user_password` and `gym_permissions_user_edit` views in `wger/gym/views/user.py` performed a gym-scope authorization check using Django ORM object comparison (`if request.user.userprofile.gym != user.userprofile.gym`) which silently passes when both sides are `None` (`None != None` evaluates to `False`). The maintainer's suggested patch…

Produkt

pip: wger

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

  • Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
  • Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
  • Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
  • Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W21