Plataforma
python
Componente
weblate
Corregido en
5.17.1
5.17
CVE-2026-33220 afecta a Weblate, una plataforma de traducción web, debido a la exposición de endpoints de la API de memoria de traducción que carecen de controles de acceso adecuados. Esta vulnerabilidad permite a atacantes no autenticados acceder a información sensible o realizar acciones no autorizadas. Afecta a versiones de Weblate desde 0.0.0 hasta la 5.16. Se recomienda actualizar a la versión 5.17.0 para solucionar este problema.
La exposición de estos endpoints de la API permite a un atacante acceder a la memoria de traducción de Weblate sin la necesidad de autenticación. Esto podría resultar en la lectura de traducciones confidenciales, la manipulación de datos de traducción o incluso la ejecución de acciones en nombre de otros usuarios, dependiendo de los permisos asociados a esos endpoints. El impacto potencial incluye la divulgación de información confidencial, la corrupción de datos de traducción y la posible toma de control de la plataforma Weblate. Aunque el impacto directo puede ser limitado a la información de traducción, la exposición de esta información podría ser utilizada en ataques de ingeniería social o para comprometer otros sistemas que utilizan las mismas traducciones.
Esta vulnerabilidad fue reportada de forma responsable a través de GitHub por @spbavarva. Actualmente no se dispone de información sobre explotación activa en el mundo real. La vulnerabilidad ha sido agregada al NVD (National Vulnerability Database) el 2026-04-15. La probabilidad de explotación se considera baja, dado que requiere conocimiento de la existencia de los endpoints expuestos y la ausencia de un PoC público ampliamente difundido.
Organizations using Weblate for translation management, particularly those with sensitive content stored within translation memories, are at risk. This includes teams relying on Weblate for software localization, documentation translation, or other content translation workflows. Those using older Weblate instances (0.0.0 - 5.16) are particularly vulnerable.
• python / server:
# Check for Weblate version
python3 -c 'import weblate; print(weblate.__version__)'• generic web:
# Check for exposed API endpoints (example)
curl -I https://your-weblate-instance/api/tm/ # Look for 200 OK responses without authenticationdisclosure
Estado del Exploit
EPSS
0.01% (3% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Weblate a la versión 5.17.0 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda deshabilitar el complemento CDN, ya que no está habilitado por defecto y puede reducir la superficie de ataque. Además, revise cuidadosamente la configuración de Weblate para asegurar que no haya endpoints de API expuestos innecesariamente. Después de la actualización, confirme que los endpoints afectados ya no son accesibles sin autenticación, utilizando herramientas como curl para intentar acceder a ellos.
Actualice Weblate a la versión 5.17 o posterior para corregir la vulnerabilidad. Si no puede actualizar inmediatamente, desactive el complemento CDN para mitigar el riesgo, ya que no está habilitado por defecto.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33220 affects Weblate versions 0.0.0 through 5.16, exposing translation memory API endpoints without proper access control, potentially allowing unauthorized data access.
If you are running Weblate versions 0.0.0 through 5.16, you are potentially affected by this vulnerability. Upgrade to 5.17.0 to mitigate the risk.
Upgrade Weblate to version 5.17.0 or later. As a temporary workaround, enable the CDN add-on.
As of the publication date, there is no confirmed evidence of active exploitation of CVE-2026-33220.
Refer to the Weblate GitHub repository for updates and advisories: https://github.com/WeblateOrg/weblate/pull/18516
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.