Plataforma
python
Componente
weblate
Corregido en
5.17.1
5.17
La vulnerabilidad CVE-2026-33214 afecta a Weblate, una plataforma de traducción colaborativa. Esta vulnerabilidad reside en la API de memoria de traducción, donde se han expuesto endpoints sin controles de acceso adecuados. Las versiones afectadas son desde 0.0.0 hasta la 5.16. Se recomienda actualizar a la versión 5.17.0 o implementar una solución alternativa para mitigar el riesgo.
La falta de controles de acceso en la API de memoria de traducción de Weblate permite a atacantes no autenticados acceder a información sensible y potencialmente manipular la memoria de traducción. Esto podría resultar en la corrupción de datos de traducción, la inserción de contenido malicioso en traducciones, o incluso la exposición de información confidencial almacenada en la memoria de traducción. El impacto se agrava si la memoria de traducción contiene datos sensibles o información de propiedad intelectual, ya que un atacante podría extraer o modificar estos datos sin autorización. La explotación exitosa de esta vulnerabilidad podría comprometer la integridad y confidencialidad de todo el proceso de traducción.
Esta vulnerabilidad fue reportada por ggamno a través de HackerOne. La vulnerabilidad se considera de severidad media (CVSS 4.3). No se han identificado campañas de explotación activas ni pruebas de concepto (PoC) públicas al momento de la publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations relying on Weblate for translation management, particularly those handling sensitive or proprietary content, are at risk. This includes software development teams, localization agencies, and businesses with multilingual customer support operations. Shared hosting environments running Weblate are also at increased risk due to potential vulnerabilities in the hosting infrastructure.
• python / web: Examine Weblate access logs for unusual activity targeting /api/memory/. Use grep to search for requests from unauthorized IP addresses or user agents.
• generic web: Use curl to test access to /api/memory/ with different user roles. Expect 403 Forbidden responses for unauthorized users.
• generic web: Monitor Weblate's internal audit logs (if enabled) for suspicious API calls related to translation memory.
• python: Check Weblate's configuration files for any custom access control rules that might be overriding the default settings.
disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Weblate a la versión 5.17.0, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda como mitigación temporal bloquear el acceso a la ruta /api/memory/ en el servidor HTTP. Esto impedirá que los atacantes accedan a los endpoints vulnerables. Para una detección temprana, monitorear los logs del servidor en busca de accesos no autorizados a la API de memoria de traducción. Después de la actualización, confirmar que los endpoints vulnerables están protegidos mediante pruebas de acceso.
Actualice Weblate a la versión 5.17 o posterior para solucionar la vulnerabilidad de control de acceso. Si no puede actualizar inmediatamente, bloquee el acceso a `/api/memory/` en su servidor HTTP para deshabilitar la funcionalidad de memoria de traducción.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33214 is a medium severity vulnerability in Weblate where the translation memory API lacked proper access controls, allowing unauthorized data access.
You are affected if you are using Weblate versions 0.0.0 through 5.16. Upgrade to 5.17.0 to mitigate the risk.
Upgrade to Weblate version 5.17.0 or later. As a temporary workaround, block access to the /api/memory/ endpoint in your HTTP server configuration.
There is currently no evidence of active exploitation, but the vulnerability's nature could make it a target.
Refer to the Weblate GitHub repository for updates and information: https://github.com/WeblateOrg/weblate/pull/18513
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.