Plataforma
python
Componente
weblate
Corregido en
5.15.1
5.15
La vulnerabilidad CVE-2025-66407 afecta a Weblate, una herramienta de localización web. Esta vulnerabilidad de SSRF (Server-Side Request Forgery) permite a usuarios autorizados, a través de la funcionalidad de creación de componentes, especificar URLs de repositorios de código fuente sin validación adecuada. Esto puede resultar en la exposición de información sensible y el acceso a recursos internos, afectando a versiones de Weblate hasta la 5.14. La solución es actualizar a la versión 5.15.
Un atacante puede explotar esta vulnerabilidad para realizar solicitudes a recursos internos que normalmente no serían accesibles desde el exterior. Al manipular la URL del repositorio, el atacante puede forzar a Weblate a realizar solicitudes a direcciones localhost, direcciones IP internas o incluso archivos locales en el servidor. Esto podría revelar información confidencial, como archivos de configuración, datos de bases de datos o incluso permitir la ejecución de código en el servidor si se accede a endpoints vulnerables. La exposición de respuestas HTTP completas amplía significativamente el potencial de ataque, permitiendo la recolección de información sensible que podría ser utilizada para ataques posteriores.
Esta vulnerabilidad fue publicada el 15 de diciembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. La falta de un PoC público conocido reduce el riesgo inmediato, pero la naturaleza de SSRF implica que podría ser explotada si se descubre un método de ataque efectivo. La severidad es MEDIUM según el CVSS.
Organizations utilizing Weblate for localization workflows, particularly those with internal network resources that are not adequately protected, are at risk. Environments with legacy Weblate installations or those lacking robust input validation practices are especially vulnerable.
• python / server:
# Check Weblate version
python3 -c 'import weblate; print(weblate.__version__)'• generic web:
curl -I http://your-weblate-instance/create/component | grep -i 'repository-url:'• generic web:
# Check access logs for requests with suspicious URLs (e.g., file://, internal IPs)
grep -i 'file:\/\/|192\.168\.1\.0\/24' /var/log/nginx/access.logdisclosure
Estado del Exploit
EPSS
0.02% (5% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-66407 es actualizar Weblate a la versión 5.15 o superior, que incluye la validación y sanitización necesarias para las URLs de los repositorios. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la funcionalidad de creación de componentes a usuarios de confianza. Implementar reglas en un proxy o WAF (Web Application Firewall) para bloquear solicitudes a URLs sospechosas o internas puede proporcionar una capa adicional de protección. Monitorear los logs de Weblate en busca de patrones de solicitudes inusuales o a recursos internos también puede ayudar a detectar y prevenir ataques.
Actualice Weblate a la versión 5.15 o superior. Alternativamente, elimine Mercurial de la configuración `VCS_BACKENDS`. El backend de Git no se ve afectado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-66407 es una vulnerabilidad SSRF en Weblate que permite a usuarios autorizados realizar solicitudes a recursos internos no validados, afectando a versiones hasta 5.14.
Si está utilizando Weblate en la versión 5.14 o anterior, es vulnerable a esta vulnerabilidad SSRF.
Actualice Weblate a la versión 5.15 o superior para corregir la vulnerabilidad y mitigar el riesgo.
Actualmente no se han reportado campañas de explotación activas, pero la naturaleza de SSRF implica un riesgo potencial.
Consulte la página de advisories de seguridad de Weblate para obtener información oficial sobre esta vulnerabilidad: [https://weblate.org/security/](https://weblate.org/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.