Plateforme
python
Composant
weblate
Corrigé dans
5.17.1
5.17
La vulnérabilité CVE-2026-34242 concerne un accès arbitraire de fichiers dans Weblate, un outil de traduction en ligne. Cette faille permet à un attaquant de suivre des liens symboliques en dehors du répertoire du dépôt lors du téléchargement de fichiers ZIP, compromettant potentiellement la confidentialité et l'intégrité des données. Elle affecte les versions de Weblate comprises entre 0.0.0 et 5.16. Une correction est disponible dans la version 5.17.0.
L'impact de cette vulnérabilité est significatif car elle permet à un attaquant d'accéder à des fichiers sensibles situés en dehors du répertoire prévu pour les téléchargements ZIP. En suivant des liens symboliques, un attaquant peut potentiellement lire des fichiers de configuration, des clés privées, ou d'autres données confidentielles stockées sur le serveur. L'exploitation réussie de cette vulnérabilité pourrait conduire à une compromission complète du système, permettant à l'attaquant de voler des informations sensibles, de modifier des fichiers, ou même d'exécuter du code malveillant. Bien que la description ne mentionne pas d'exploitation active, la possibilité d'accéder à des fichiers arbitraires représente un risque sérieux pour les installations Weblate.
La vulnérabilité a été signalée et corrigée par l'équipe de développement de Weblate. Aucune information sur une exploitation active n'est disponible à ce jour. Le score CVSS de 7.7 (HIGH) indique une sévérité élevée, soulignant l'importance de la correction. La vulnérabilité a été publiée le 2026-04-15, ce qui laisse peu de temps aux administrateurs pour appliquer la correction.
Organizations using Weblate for translation management, particularly those hosting Weblate instances on shared hosting environments or with inadequate file system permissions, are at increased risk. Legacy Weblate deployments running older, unpatched versions are also particularly vulnerable.
• python / server:
find /opt/weblate/ -name '*.zip' -type f -print0 | xargs -0 grep -i '..\..' # Search for symlink patterns in downloaded ZIP files• generic web:
curl -I http://your-weblate-instance/download/your_repo.zip | grep 'Location:' # Check for unusual Location headers during downloaddisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Weblate vers la version 5.17.0, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à restreindre l'accès aux liens symboliques au niveau du système d'exploitation. Cela peut être réalisé en configurant les options de montage du système de fichiers pour désactiver le suivi des liens symboliques pour l'utilisateur exécutant Weblate. Il est également recommandé de surveiller les journaux d'accès pour détecter toute tentative d'accès à des fichiers inhabituels. Après la mise à jour, vérifiez que la fonctionnalité de téléchargement ZIP fonctionne correctement et qu'aucun fichier non autorisé n'est accessible.
Actualice Weblate a la versión 5.17 o superior para mitigar la vulnerabilidad. Esta versión corrige la falta de verificación de archivos descargados, evitando que se sigan enlaces simbólicos fuera del repositorio.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34242 is a HIGH severity vulnerability in Weblate allowing attackers to download arbitrary files by exploiting symlink traversal in the ZIP download feature.
You are affected if you are running Weblate versions 0.0.0 through 5.16. Upgrade to 5.17.0 or later to resolve the issue.
Upgrade Weblate to version 5.17.0 or later. As a temporary workaround, restrict the Weblate user's file system access.
There are currently no known public exploits or active campaigns targeting CVE-2026-34242, but the vulnerability's ease of exploitation warrants vigilance.
Refer to the Weblate GitHub repository for details and the patch: https://github.com/WeblateOrg/weblate/pull/18683
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.