weblate
Corregido en
5.17.1
5.17
La vulnerabilidad CVE-2026-34393 afecta a Weblate, una herramienta de localización web, en versiones anteriores a la 5.17. Esta falla permite a un atacante modificar ediciones sin las restricciones adecuadas a través de la API de parcheo de usuarios. La vulnerabilidad ha sido corregida en la versión 5.17.0, y se recomienda actualizar a esta versión lo antes posible.
Esta vulnerabilidad presenta un riesgo significativo, ya que un atacante podría modificar ediciones en Weblate sin la autorización adecuada. Esto podría resultar en la alteración de traducciones, la introducción de contenido malicioso o la manipulación de datos sensibles dentro del sistema de localización. El impacto potencial se amplifica si Weblate se utiliza para traducir contenido crítico para aplicaciones o sitios web, ya que la manipulación de traducciones podría tener consecuencias graves para la reputación y la seguridad de la organización. La falta de restricciones en el alcance de las ediciones permite a un atacante realizar cambios generalizados, aumentando el alcance del daño potencial.
La vulnerabilidad fue publicada el 2026-04-15. No se han reportado campañas de explotación activas conocidas públicamente. La probabilidad de explotación se considera moderada, dada la naturaleza de la vulnerabilidad y la disponibilidad de la solución. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación.
Organizations utilizing Weblate for localization, particularly those with publicly accessible instances or those lacking robust access control configurations, are at risk. Shared hosting environments where multiple Weblate instances share resources are also particularly vulnerable.
• python / server:
# Check Weblate version
python3 -c 'import weblate; print(weblate.__version__)'• generic web:
# Check for exposed patching API endpoint
curl -I https://your-weblate-instance/api/patches/disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-34393 es actualizar Weblate a la versión 5.17.0 o superior. Si la actualización inmediata no es posible, considere implementar restricciones adicionales en el acceso a la API de parcheo de usuarios, limitando los permisos y el alcance de las modificaciones que se pueden realizar. Revise los registros de auditoría para detectar cualquier actividad sospechosa relacionada con la API de parcheo. Después de la actualización, confirme que las restricciones de edición se aplican correctamente revisando los permisos de usuario y los registros de auditoría.
Actualice Weblate a la versión 5.17 o posterior para mitigar la vulnerabilidad de escalada de privilegios en el API de usuario. Esta actualización corrige la falta de restricciones adecuadas en el alcance de las ediciones, previniendo que usuarios no autorizados modifiquen datos sensibles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-34393 is a high-severity vulnerability in Weblate versions before 5.17, allowing unauthorized modification of translations due to insufficient scope limitations in the patching API.
Yes, if you are running Weblate versions 0.0.0 through 5.16, you are affected by this vulnerability and should upgrade immediately.
Upgrade Weblate to version 5.17.0 or later to resolve the vulnerability. If immediate upgrade is not possible, implement stricter access controls.
Currently, there are no publicly known active exploitation campaigns for CVE-2026-34393, but the ease of exploitation warrants immediate attention.
Refer to the official Weblate security advisory for detailed information and updates: [https://weblate.org/security/](https://weblate.org/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.