Plateforme
python
Composant
weblate
Corrigé dans
5.15.2
5.15.1
La vulnérabilité CVE-2025-68279 est une faille d'accès arbitraire de fichiers affectant Weblate, une plateforme de gestion de traductions. Cette faille permet à un attaquant de lire des fichiers arbitraires du système de fichiers du serveur en exploitant des liens symboliques malveillants dans le dépôt. Les versions de Weblate concernées sont celles inférieures ou égales à 5.9.2. Une correction est disponible dans la version 5.15.1.
L'impact de cette vulnérabilité est significatif car elle permet à un attaquant de contourner les mécanismes de sécurité et d'accéder à des fichiers sensibles stockés sur le serveur. Cela pourrait inclure des fichiers de configuration contenant des informations d'identification, des données de base de données, des clés API, ou tout autre fichier accessible au processus Weblate. Un attaquant pourrait potentiellement obtenir un accès complet au système de fichiers, compromettant ainsi la confidentialité, l'intégrité et la disponibilité des données. Bien que la description ne mentionne pas d'exploitation active, la possibilité de lecture de fichiers arbitraires représente un risque élevé, particulièrement dans les environnements où Weblate est utilisé pour gérer des données sensibles.
La vulnérabilité a été signalée par Jason Marcello et rendue publique le 2025-12-18. Il n'y a pas d'indication d'une exploitation active à ce jour, ni d'ajout au KEV. L'absence de preuve de concept publique ne diminue pas le risque, car l'exploitation de liens symboliques est une technique bien connue. La CVSS score de 7.7 (HIGH) indique une sévérité élevée.
Organizations using Weblate for translation management, particularly those hosting Weblate instances on shared hosting environments or with limited file system access controls, are at increased risk. Legacy Weblate configurations that haven't been regularly updated are also more vulnerable.
• python / server:
find /opt/weblate -type l -print # Check for symbolic links in Weblate directories• python / server:
journalctl -u weblate -f | grep "symbolic link" # Monitor Weblate logs for symbolic link related errors• generic web:
curl -I http://your-weblate-instance/path/to/symlink%20../sensitive_file.txt # Attempt to access a file via a crafted symbolic linkdisclosure
Statut de l'Exploit
EPSS
0.07% (percentile 20%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Weblate vers la version 5.15.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une mesure temporaire consiste à restreindre l'accès aux fichiers sensibles et à surveiller attentivement les journaux du système pour détecter toute activité suspecte. Il est également recommandé de désactiver temporairement la fonctionnalité de gestion des liens symboliques si cela est possible sans impacter les fonctionnalités essentielles de Weblate. En cas de rollback après la mise à jour, assurez-vous de vérifier que les liens symboliques n'ont pas été compromis avant de rétablir l'ancienne version.
Actualice Weblate a la versión 5.15.1 o superior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos mediante enlaces simbólicos. La actualización se puede realizar a través del gestor de paquetes de Python (pip) o siguiendo las instrucciones de actualización proporcionadas por WeblateOrg.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68279 is a vulnerability in Weblate versions ≤5.9.2 that allows attackers to read arbitrary files on the server via symbolic link manipulation, carrying a CVSS score of 7.7 (HIGH).
You are affected if you are running Weblate version 5.9.2 or earlier. Upgrade to version 5.15.1 or later to mitigate the risk.
Upgrade Weblate to version 5.15.1 or later. If immediate upgrade is not possible, restrict file system access and consider WAF rules.
As of the current disclosure date, there is no evidence of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Refer to the official Weblate security advisory for detailed information and updates: [https://weblate.org/security/](https://weblate.org/security/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.