Vulnerabilities ›

CVE-2026-27835

Medium ⚡ Exploit Available

CWE-639 — Weakness Type

                    Published: Feb 26, 2026                      ·  Modified: Mar 5, 2026                      ·  Source: NVD                

CVSS v3

4.3

🔗 NVD Official

📄 Description (English)

wger is a free, open-source workout and fitness manager. In versions up to and including 2.4, `RepetitionsConfigViewSet` and `MaxRepetitionsConfigViewSet` return all users' repetition config data because their `get_queryset()` calls `.all()` instead of filtering by the authenticated user. Any registered user can enumerate every other user's workout structure. Commit 1fda5690b35706bb137850c8a084ec6a13317b64 contains a fix for the issue.

🤖 AI Executive Summary

wger fitness manager versions up to 2.4 expose all users' repetition configuration data due to improper queryset filtering in API endpoints. Any registered user can enumerate other users' complete workout structures, compromising privacy.

📄 Description (Arabic)

يفشل تطبيق wger في تصفية بيانات التكوين بناءً على المستخدم المصرح، مما يسمح لأي مستخدم مسجل بالوصول إلى معلومات التمارين الكاملة لجميع المستخدمين الآخرين. هذا ينتهك خصوصية المستخدم ويكشف أنماط التدريب والبيانات الشخصية.

🤖 ملخص تنفيذي (AI)

تطبيق wger لإدارة اللياقة البدنية في الإصدارات حتى 2.4 يكشف بيانات تكوين التكرارات لجميع المستخدمين بسبب فشل في تصفية استعلامات قاعدة البيانات. أي مستخدم مسجل يمكنه الوصول إلى هياكل التمارين الكاملة للمستخدمين الآخرين.

🤖 AI Intelligence Analysis Analyzed: May 30, 2026 07:26

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: medium

🏢 Affected Saudi Sectors

healthcare telecom

🎯 MITRE ATT&CK Techniques

T1526 T1087 T1087.001

⚖️ Saudi Risk Score (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade wger to version 2.5 or later which includes commit 1fda5690b35706bb137850c8a084ec6a13317b64. Implement proper queryset filtering in RepetitionsConfigViewSet and MaxRepetitionsConfigViewSet to return only authenticated user data. Apply access control reviews to all API endpoints returning user-specific data.

🔧 خطوات المعالجة (العربية)

قم بترقية wger إلى الإصدار 2.5 أو أحدث الذي يتضمن الإصلاح. طبق تصفية استعلامات صحيحة في RepetitionsConfigViewSet و MaxRepetitionsConfigViewSet لإرجاع بيانات المستخدم المصرح فقط. راجع التحكم في الوصول لجميع نقاط نهاية API التي تعيد بيانات خاصة بالمستخدم.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1.1 5.1.2

🔵 SAMA CSF

AC-3 AC-4

🟡 ISO 27001:2022

A.9.1.1 A.9.2.1 A.9.4.3

🔗 References & Sources 2

🔗

https://github.com/wger-project/wger/commit/1fda5690b35706bb137850c8a084ec6a13317b64

security-advisories@github.com

Patch

🔗

https://github.com/wger-project/wger/security/advisories/GHSA-xf68-8hjw-7mpm

security-advisories@github.com

Exploit Vendor Advisory

📦 Affected Products / CPE 1 entries

wger:wger

📊 CVSS Score

4.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score4.3

CWECWE-639

Exploit ✓ Yes

Patch ✓ Yes

Published 2026-02-26

Source Feed nvd

🇸🇦 Saudi Risk Score

5.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

exploit-available patch-available CWE-639

🏢 Vendor Advisories

🔗 https://github.com/wger-project/wger/security/adviso...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2026-27835

💬 Comments

Introduce Yourself

Sign In Required