Plataforma
python
Componente
weblate
Corregido en
5.17.1
5.17
CVE-2026-33435 es una vulnerabilidad de Ejecución Remota de Código (RCE) que afecta a Weblate en versiones comprendidas entre 5.0.0 y 5.17. Esta falla se debe a que el proceso de copia de seguridad del proyecto no filtra adecuadamente los archivos de configuración de Git y Mercurial, lo que podría permitir a un atacante ejecutar código malicioso en el servidor. La solución recomendada es actualizar a la versión 5.17.0 o implementar medidas de seguridad para restringir el acceso a la función de copia de seguridad.
La vulnerabilidad permite a un atacante, con acceso a la funcionalidad de copia de seguridad del proyecto, inyectar código malicioso en los archivos de configuración de Git y Mercurial. Durante el proceso de restauración de la copia de seguridad, este código se ejecutaría en el contexto del usuario que realiza la restauración, potencialmente otorgando al atacante control sobre el servidor Weblate. El impacto puede incluir la modificación de datos, la exfiltración de información sensible, la instalación de malware o incluso la toma completa del control del sistema. La falta de filtrado adecuado de estos archivos de configuración representa una brecha significativa en la seguridad de las copias de seguridad de Weblate.
Este problema fue reportado por ggamno a través de HackerOne. Actualmente no hay información pública sobre explotación activa de esta vulnerabilidad. La probabilidad de explotación se considera moderada, dado que requiere acceso a la funcionalidad de copia de seguridad del proyecto, pero el impacto potencial es alto. Se recomienda monitorear la situación y aplicar las mitigaciones lo antes posible.
Organizations using Weblate for translation management, particularly those with multiple users and permissive project creation policies, are at risk. Shared hosting environments where users have the ability to create projects are also particularly vulnerable, as an attacker could potentially compromise the entire hosting instance.
• python / server:
# Check for suspicious file modifications in the project backup directory
find /path/to/weblate/project_backups -mtime -1 -type f• generic web:
# Check Weblate logs for errors related to project backups
grep -i 'backup' /var/log/weblate/error.logdisclosure
Estado del Exploit
EPSS
0.08% (24% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33435 es actualizar Weblate a la versión 5.17.0 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda restringir el acceso a la funcionalidad de copia de seguridad del proyecto. Esto puede lograrse limitando los permisos de los usuarios que pueden crear proyectos, reduciendo así la superficie de ataque. Además, se recomienda revisar los logs del sistema en busca de actividades sospechosas relacionadas con la copia de seguridad del proyecto. Después de la actualización, confirme la corrección revisando los logs y verificando que los archivos de configuración de Git y Mercurial se filtren correctamente durante el proceso de copia de seguridad.
Actualice Weblate a la versión 5.17 o posterior para mitigar la vulnerabilidad. Si no puede actualizar inmediatamente, restrinja el acceso a las copias de seguridad del proyecto, ya que solo son accesibles para usuarios con permisos para crear proyectos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33435 is a Remote Code Execution vulnerability in Weblate versions 5.0.0 through 5.16, allowing attackers to execute code during project backups if they have project creation privileges.
You are affected if you are running Weblate versions 5.0.0 through 5.16 and have not upgraded to 5.17.0 or later. Assess if users have project creation privileges.
Upgrade Weblate to version 5.17.0 or later. As a temporary workaround, restrict access to project creation to limit the attack surface.
There is currently no evidence of active exploitation in the wild, but the vulnerability's nature suggests it could be exploited.
Refer to the Weblate GitHub pull request: https://github.com/WeblateOrg/weblate/pull/18549
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.