Plateforme
python
Composant
wlc
Corrigé dans
1.17.3
1.17.2
La vulnérabilité CVE-2026-23535 est une faille de type Path Traversal découverte dans Weblate CLI (wlc). Cette vulnérabilité permet à un attaquant d'écrire des fichiers à des emplacements arbitraires sur le système, compromettant potentiellement l'intégrité des données. Elle affecte les versions de Weblate CLI inférieures ou égales à 1.9. Une correction est disponible dans la version 1.17.2.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les mécanismes de sécurité et d'écrire des fichiers en dehors du répertoire prévu. Un serveur malveillant peut manipuler la commande wlc download pour injecter des chemins d'accès arbitraires, permettant ainsi l'écriture de fichiers sensibles ou l'exécution de code malveillant. L'impact potentiel est élevé, car cela peut conduire à la compromission complète du système et à la perte de données. Bien que l'exploitation directe puisse nécessiter une interaction avec un serveur compromis, la simplicité de la commande wlc download rend cette vulnérabilité accessible à un large éventail d'attaquants.
Cette vulnérabilité a été signalée par [wh1zee] via HackerOne. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'un serveur malveillant pour initier l'attaque. Il n'y a pas d'indication d'exploitation active à ce jour. La vulnérabilité a été publiée le 2026-01-16.
Organizations and individuals using the Weblate CLI client, particularly those who rely on automated workflows involving file downloads from external or untrusted sources, are at risk. Shared hosting environments where multiple users share the same system and Weblate CLI client installation are also particularly vulnerable.
• python / generic web:
# Check for wlc version
wlc --version• python / generic web:
# Monitor for unusual file creation patterns in the user's home directory or other writable locations.
find /home/$USER -type f -mmin -60 -print• python / generic web:
# Inspect network traffic for suspicious file download requests.
# (Requires network monitoring tools like tcpdump or Wireshark)disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Weblate CLI vers la version 1.17.2 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est fortement recommandé d'éviter d'utiliser la commande wlc download avec des serveurs non fiables. Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à restreindre les permissions d'écriture du répertoire de destination de wlc download. Il n'existe pas de signatures Sigma ou YARA spécifiques connues pour cette vulnérabilité, mais une surveillance accrue des processus wlc et des tentatives d'écriture de fichiers dans des emplacements inattendus est conseillée.
Actualice wlc a la versión 1.17.2 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura en ubicaciones arbitrarias. Puede actualizar usando el gestor de paquetes pip: `pip install -U wlc`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-23535 is a Path Traversal vulnerability in the Weblate CLI client that allows a malicious server to write files to arbitrary locations.
You are affected if you are using Weblate CLI client versions 1.9 or earlier.
Upgrade to version 1.17.2 or later. As a temporary workaround, avoid using wlc download with untrusted servers.
There is currently no indication of active exploitation in the wild.
Refer to the Weblate GitHub pull request: https://github.com/WeblateOrg/wlc/pull/1128
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.