Plataforma
python
Componente
weblate
Corregido en
5.15.2
5.15.1
CVE-2025-68279 describe una vulnerabilidad de Acceso Arbitrario de Archivos en Weblate, una plataforma de traducción web. Esta vulnerabilidad permite a un atacante leer archivos arbitrarios del sistema de archivos del servidor mediante el uso de enlaces simbólicos maliciosos. Las versiones afectadas son Weblate 5.9.2 y anteriores. Se recomienda actualizar a la versión 5.15.1 para solucionar este problema.
La vulnerabilidad de Acceso Arbitrario de Archivos en Weblate permite a un atacante, con acceso a la funcionalidad de repositorio, explotar enlaces simbólicos para leer archivos sensibles del sistema de archivos del servidor. Esto podría incluir archivos de configuración, claves de API, contraseñas u otros datos confidenciales. Un atacante podría utilizar esta información para comprometer aún más el sistema, obtener acceso no autorizado a recursos o incluso ejecutar código malicioso. La severidad del impacto depende de la sensibilidad de los archivos accesibles y de los privilegios del usuario que explota la vulnerabilidad.
La vulnerabilidad fue reportada de forma responsable por Jason Marcello. No se ha encontrado evidencia pública de explotación activa en campañas dirigidas. La vulnerabilidad se ha añadido al Catálogo de Vulnerabilidades Conocidas y Explotables (KEV) de CISA. La probabilidad de explotación se considera media debido a la necesidad de acceso al repositorio y la complejidad de la explotación, aunque la disponibilidad de la vulnerabilidad la hace un objetivo potencial.
Organizations using Weblate for translation management, particularly those hosting Weblate instances on shared hosting environments or with limited file system access controls, are at increased risk. Legacy Weblate configurations that haven't been regularly updated are also more vulnerable.
• python / server:
find /opt/weblate -type l -print # Check for symbolic links in Weblate directories• python / server:
journalctl -u weblate -f | grep "symbolic link" # Monitor Weblate logs for symbolic link related errors• generic web:
curl -I http://your-weblate-instance/path/to/symlink%20../sensitive_file.txt # Attempt to access a file via a crafted symbolic linkdisclosure
Estado del Exploit
EPSS
0.07% (20% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-68279 es actualizar Weblate a la versión 5.15.1 o superior, donde se ha solucionado la vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar restricciones en la creación de enlaces simbólicos en el sistema de archivos del servidor. Revise la configuración del repositorio para asegurar que no se permitan enlaces simbólicos no autorizados. Además, monitoree los registros del servidor en busca de actividad sospechosa relacionada con la manipulación de archivos o la creación de enlaces simbólicos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los enlaces simbólicos maliciosos ya no pueden acceder a archivos sensibles.
Actualice Weblate a la versión 5.15.1 o superior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos mediante enlaces simbólicos. La actualización se puede realizar a través del gestor de paquetes de Python (pip) o siguiendo las instrucciones de actualización proporcionadas por WeblateOrg.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68279 is a vulnerability in Weblate versions ≤5.9.2 that allows attackers to read arbitrary files on the server via symbolic link manipulation, carrying a CVSS score of 7.7 (HIGH).
You are affected if you are running Weblate version 5.9.2 or earlier. Upgrade to version 5.15.1 or later to mitigate the risk.
Upgrade Weblate to version 5.15.1 or later. If immediate upgrade is not possible, restrict file system access and consider WAF rules.
As of the current disclosure date, there is no evidence of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Refer to the official Weblate security advisory for detailed information and updates: [https://weblate.org/security/](https://weblate.org/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.