Plataforma
python
Componente
weblate
Corregido en
5.17.1
5.17
CVE-2026-34242 describe una vulnerabilidad de Acceso Arbitrario a Archivos en Weblate, una plataforma de traducción web. Esta falla permite a un atacante acceder a archivos fuera del directorio del repositorio, comprometiendo potencialmente la confidencialidad e integridad del sistema. La vulnerabilidad afecta a versiones de Weblate desde 0.0.0 hasta la 5.16, y se ha solucionado en la versión 5.17.0.
La vulnerabilidad de Acceso Arbitrario a Archivos en Weblate permite a un atacante, a través de la función de descarga ZIP, seguir enlaces simbólicos (symlinks) fuera del directorio del repositorio. Esto significa que un atacante podría acceder a archivos sensibles ubicados en otras partes del sistema de archivos del servidor, como archivos de configuración, código fuente, o incluso archivos de usuario. El impacto potencial incluye la divulgación de información confidencial, la modificación de archivos críticos, y la posible ejecución de código malicioso si el atacante puede manipular archivos ejecutables. Esta vulnerabilidad es particularmente preocupante en entornos donde Weblate se utiliza para traducir documentos confidenciales o donde el servidor web tiene acceso a otros recursos sensibles.
La vulnerabilidad CVE-2026-34242 fue reportada y parcheada en un corto periodo de tiempo, lo que sugiere una baja probabilidad de explotación activa. No se han reportado públicamente pruebas de concepto (PoCs) detalladas, pero la naturaleza de la vulnerabilidad (Acceso Arbitrario a Archivos) la hace potencialmente explotable. La vulnerabilidad fue publicada el 2026-04-15. Se recomienda monitorear la situación y aplicar la actualización lo antes posible.
Organizations using Weblate for translation management, particularly those hosting Weblate instances on shared hosting environments or with inadequate file system permissions, are at increased risk. Legacy Weblate deployments running older, unpatched versions are also particularly vulnerable.
• python / server:
find /opt/weblate/ -name '*.zip' -type f -print0 | xargs -0 grep -i '..\..' # Search for symlink patterns in downloaded ZIP files• generic web:
curl -I http://your-weblate-instance/download/your_repo.zip | grep 'Location:' # Check for unusual Location headers during downloaddisclosure
Estado del Exploit
EPSS
0.01% (3% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-34242 es actualizar Weblate a la versión 5.17.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad temporales. Estas medidas incluyen restringir los permisos del usuario de Weblate para evitar que pueda seguir enlaces simbólicos, y monitorear los registros del servidor en busca de intentos de acceso no autorizados. Además, se puede considerar la implementación de un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten explotar esta vulnerabilidad. Después de la actualización, confirme la corrección revisando los registros de Weblate y verificando que la función de descarga ZIP ya no permita el acceso a archivos fuera del repositorio.
Actualice Weblate a la versión 5.17 o superior para mitigar la vulnerabilidad. Esta versión corrige la falta de verificación de archivos descargados, evitando que se sigan enlaces simbólicos fuera del repositorio.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-34242 is a HIGH severity vulnerability in Weblate allowing attackers to download arbitrary files by exploiting symlink traversal in the ZIP download feature.
You are affected if you are running Weblate versions 0.0.0 through 5.16. Upgrade to 5.17.0 or later to resolve the issue.
Upgrade Weblate to version 5.17.0 or later. As a temporary workaround, restrict the Weblate user's file system access.
There are currently no known public exploits or active campaigns targeting CVE-2026-34242, but the vulnerability's ease of exploitation warrants vigilance.
Refer to the Weblate GitHub repository for details and the patch: https://github.com/WeblateOrg/weblate/pull/18683
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.