wger — бесплатный менеджер тренировок и фитнеса с открытым исходным кодом. В версиях до 2.4 включительно `RepetitionsConfigViewSet` и `MaxRepetitionsConfigViewSet` возвращают данные конфигурации повторения всех пользователей, поскольку их `get_queryset()` вызывает `.all()` вместо фильтрации по аутентифицированному пользователю. Любой зарегистрированный пользователь может просмотреть структуру тренировок любого другого пользователя.
Коммит 1fda5690b35706bb137850c8a084ec6a13317b64 содержит исправление этой проблемы.
Показать оригинальное описание (EN)
wger is a free, open-source workout and fitness manager. In versions up to and including 2.4, `RepetitionsConfigViewSet` and `MaxRepetitionsConfigViewSet` return all users' repetition config data because their `get_queryset()` calls `.all()` instead of filtering by the authenticated user. Any registered user can enumerate every other user's workout structure. Commit 1fda5690b35706bb137850c8a084ec6a13317b64 contains a fix for the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1