الثغرات ›

CVE-2026-27838

منخفض ⚡ اختراق متاح

CWE-639 — نوع الضعف

                    نُشر: Feb 26, 2026                      ·  آخر تحديث: Mar 5, 2026                      ·  المصدر: NVD                

CVSS v3

3.1

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

wger is a free, open-source workout and fitness manager. Five routine detail action endpoints check a cache before calling `self.get_object()`. In versions up to and including 2.4, ache keys are scoped only by `pk` — no user ID is included. When a victim has previously accessed their routine via the API, an attacker can retrieve the cached response for the same PK without any ownership check. Commit e964328784e2ee2830a1991d69fadbce86ac9fbf contains a patch for the issue.

🤖 ملخص AI

Wger fitness manager versions up to 2.4 have an improper cache key scoping vulnerability where routine details are cached by primary key only, allowing attackers to access other users' cached routine data. The vulnerability requires prior victim access and affects only cached responses, limiting its practical impact.

📄 الوصف (العربية)

يحتوي إصدار wger 2.4 وما قبله على ضعف في نطاق مفتاح التخزين المؤقت حيث يتم تخزين تفاصيل الروتين مؤقتاً باستخدام معرف أساسي فقط دون تضمين معرف المستخدم. يمكن للمهاجمين الوصول إلى البيانات المخزنة مؤقتاً لمستخدمين آخرين إذا كانوا قد وصلوا سابقاً إلى نفس معرف الروتين عبر واجهة برمجية التطبيقات.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 30, 2026 08:34

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: low

🏢 القطاعات السعودية المتأثرة

healthcare

🎯 تقنيات MITRE ATT&CK

T1555

⚖️ درجة المخاطر السعودية (AI)

3.0

/ 10.0

🔧 Remediation Steps (English)

Update wger to version 2.5 or later which includes commit e964328784e2ee2830a1991d69fadbce86ac9fbf that properly scopes cache keys by both primary key and user ID. Organizations should also review access logs for unauthorized routine data access.

🔧 خطوات المعالجة (العربية)

قم بتحديث wger إلى الإصدار 2.5 أو أحدث الذي يتضمن الإصلاح الذي يقيد مفاتيح التخزين المؤقت بشكل صحيح بناءً على معرف المستخدم ومفتاح البيانات الأساسي. يجب على المنظمات أيضاً مراجعة سجلات الوصول للكشف عن أي وصول غير مصرح به لبيانات الروتين.

📋 خريطة الامتثال التنظيمي

🟡 ISO 27001:2022

A.14.2.1

🔗 المراجع والمصادر 2

🔗

https://github.com/wger-project/wger/commit/e964328784e2ee2830a1991d69fadbce86ac9fbf

security-advisories@github.com

Patch

🔗

https://github.com/wger-project/wger/security/advisories/GHSA-42cr-w2gr-m54q

security-advisories@github.com

Exploit Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

wger:wger

📊 CVSS Score

3.1

/ 10.0 — منخفض

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة منخفض

CVSS Score3.1

CWECWE-639

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

تاريخ النشر 2026-02-26

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

3.0

/ 10.0 — مخاطر السعودية

أولوية: LOW

🏷️ الوسوم

exploit-available patch-available CWE-639

🏢 توجيهات البائع

🔗 https://github.com/wger-project/wger/security/adviso...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-27838

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب