Plataforma
python
Componente
wlc
Corregido en
1.17.3
1.17.2
CVE-2026-23535 es una vulnerabilidad de Path Traversal descubierta en wlc, una herramienta de gestión de traducciones. Esta vulnerabilidad permite a un servidor malicioso escribir archivos en ubicaciones arbitrarias del sistema. Afecta a versiones de wlc menores o iguales a 1.9. Se recomienda actualizar a la versión 1.17.2 o implementar medidas de mitigación.
La vulnerabilidad de Path Traversal en wlc permite a un atacante, a través de un servidor malicioso, manipular el proceso de descarga de traducciones para escribir archivos en cualquier ubicación del sistema de archivos al que tenga acceso el usuario que ejecuta wlc download. Esto podría resultar en la modificación o reemplazo de archivos críticos del sistema, la ejecución de código malicioso o el robo de información confidencial. El impacto potencial es significativo, especialmente en entornos donde wlc se utiliza para gestionar traducciones de aplicaciones sensibles o sistemas críticos. La capacidad de escribir en ubicaciones arbitrarias elimina las barreras de seguridad que normalmente protegen los archivos del sistema.
Esta vulnerabilidad fue reportada por [wh1zee] a través de HackerOne. No se ha confirmado explotación activa en el mundo real, pero la disponibilidad de la vulnerabilidad y su potencial impacto la convierten en un riesgo significativo. La vulnerabilidad se considera de alta probabilidad de explotación debido a la relativa facilidad de ejecución del ataque. La publicación de la corrección en GitHub indica que el desarrollador está al tanto del problema y ha tomado medidas para solucionarlo.
Organizations and individuals using the Weblate CLI client, particularly those who rely on automated workflows involving file downloads from external or untrusted sources, are at risk. Shared hosting environments where multiple users share the same system and Weblate CLI client installation are also particularly vulnerable.
• python / generic web:
# Check for wlc version
wlc --version• python / generic web:
# Monitor for unusual file creation patterns in the user's home directory or other writable locations.
find /home/$USER -type f -mmin -60 -print• python / generic web:
# Inspect network traffic for suspicious file download requests.
# (Requires network monitoring tools like tcpdump or Wireshark)disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-23535 es actualizar wlc a la versión 1.17.2 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda evitar el uso de wlc download con servidores que no sean de confianza. Además, se debe revisar la configuración de permisos del usuario que ejecuta wlc para limitar su acceso al sistema de archivos. Implementar un sistema de monitoreo de archivos para detectar modificaciones no autorizadas también puede ayudar a identificar y responder a posibles ataques. Después de la actualización, confirme la corrección revisando los logs de wlc en busca de intentos de acceso no autorizados.
Actualice wlc a la versión 1.17.2 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura en ubicaciones arbitrarias. Puede actualizar usando el gestor de paquetes pip: `pip install -U wlc`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-23535 is a Path Traversal vulnerability in the Weblate CLI client that allows a malicious server to write files to arbitrary locations.
You are affected if you are using Weblate CLI client versions 1.9 or earlier.
Upgrade to version 1.17.2 or later. As a temporary workaround, avoid using wlc download with untrusted servers.
There is currently no indication of active exploitation in the wild.
Refer to the Weblate GitHub pull request: https://github.com/WeblateOrg/wlc/pull/1128
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.