Plateforme
python
Composant
wlc
Corrigé dans
1.17.1
1.17.0
La vulnérabilité CVE-2026-22250 concerne un contournement de la vérification SSL dans Weblate CLI, un outil en ligne de commande pour la gestion de traductions. Cette faille permet de contourner la validation des certificats SSL pour certaines URL malformées, potentiellement exposant des données sensibles. Elle affecte les versions de Weblate CLI inférieures ou égales à 1.9. Une correction est disponible dans la version 1.17.0.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant de contourner la validation SSL. Cela signifie qu'il peut intercepter et potentiellement modifier le trafic réseau entre Weblate CLI et un serveur, sans que l'application ne le détecte. Un attaquant pourrait ainsi accéder à des données sensibles transmises via des connexions HTTPS, telles que des informations de traduction confidentielles ou des identifiants d'utilisateur. Bien que la sévérité soit classée comme faible, cette vulnérabilité peut être exploitée dans des environnements où la confiance dans les configurations Weblate est compromise, ouvrant la porte à des attaques de type 'man-in-the-middle'.
Cette vulnérabilité a été signalée par [wh1zee] via HackerOne. Aucune preuve d'exploitation active n'est actuellement disponible. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. Le score CVSS indique une sévérité faible, suggérant une probabilité d'exploitation relativement faible, mais cela ne doit pas minimiser l'importance de la correction.
Organizations and individuals using Weblate CLI for automated translation workflows, particularly those relying on external or untrusted URL sources for connection configuration, are at risk. Legacy Weblate CLI installations running versions prior to 1.17.0 are also vulnerable.
• python / cli: Inspect Weblate CLI configuration files for suspicious URLs or connections to untrusted hosts. • python / cli: Monitor Weblate CLI logs for SSL verification errors or unusual connection attempts. • generic web: Check for unusual network traffic patterns originating from Weblate CLI processes.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 0%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à niveau Weblate CLI vers la version 1.17.0 ou supérieure, qui corrige cette vulnérabilité. En attendant, il est fortement recommandé d'éviter d'utiliser des configurations Weblate non fiables, car elles pourraient entraîner des connexions non sécurisées. Vérifiez attentivement les configurations SSL de Weblate CLI et assurez-vous qu'elles sont correctement configurées pour valider les certificats. Si la mise à niveau n'est pas immédiatement possible, examinez les journaux d'accès et d'erreurs pour détecter des tentatives de connexion suspectes. Après la mise à niveau, vérifiez le bon fonctionnement de la validation SSL en effectuant des tests de connexion vers des serveurs avec des certificats SSL valides.
Mettez à jour le paquet `wlc` à la version 1.17.0 ou supérieure. Cela peut être fait en utilisant le gestionnaire de paquets pip avec la commande `pip install --upgrade wlc`. Assurez-vous de vérifier que la mise à jour a été effectuée correctement.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22250 is a LOW severity vulnerability in Weblate CLI versions 1.9 and earlier that allows attackers to bypass SSL verification for crafted URLs, potentially leading to insecure connections.
You are affected if you are using Weblate CLI versions 1.9 or earlier. Upgrade to version 1.17.0 or later to mitigate the vulnerability.
Upgrade Weblate CLI to version 1.17.0 or later. As a temporary workaround, avoid using untrusted Weblate CLI configurations.
There is no current evidence of CVE-2026-22250 being actively exploited, but it is important to apply the fix to prevent potential future attacks.
Refer to the Weblate GitHub pull request: https://github.com/WeblateOrg/wlc/pull/1097 for details and the fix.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.