प्लेटफ़ॉर्म
python
घटक
weblate
में ठीक किया गया
5.17.1
5.17
CVE-2026-33435 Weblate में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह भेद्यता प्रोजेक्ट बैकअप प्रक्रिया में Git और Mercurial कॉन्फ़िगरेशन फ़ाइलों को ठीक से फ़िल्टर करने में विफलता के कारण उत्पन्न होती है, जिससे हमलावर विशिष्ट परिस्थितियों में कोड निष्पादित कर सकते हैं। यह भेद्यता Weblate के 5.0.0 से 5.17 तक के संस्करणों को प्रभावित करती है और इसे 5.17.0 में ठीक किया गया है।
CVE-2026-33435 का शोषण करने वाला एक हमलावर प्रोजेक्ट बैकअप प्रक्रिया का उपयोग करके Weblate सर्वर पर मनमाना कोड निष्पादित कर सकता है। यह हमलावर को सिस्टम पर पूर्ण नियंत्रण प्राप्त करने, संवेदनशील डेटा तक पहुंचने या अन्य दुर्भावनापूर्ण गतिविधियां करने की अनुमति दे सकता है। चूंकि प्रोजेक्ट बैकअप में Git और Mercurial कॉन्फ़िगरेशन फ़ाइलों को फ़िल्टर नहीं किया जाता है, इसलिए हमलावर दुर्भावनापूर्ण कोड को इन फ़ाइलों में इंजेक्ट कर सकता है और फिर बैकअप प्रक्रिया के माध्यम से इसे निष्पादित कर सकता है। इस भेद्यता का संभावित प्रभाव बहुत अधिक है, क्योंकि यह हमलावर को Weblate सर्वर और उससे जुड़े डेटा पर पूर्ण नियंत्रण प्राप्त करने की अनुमति दे सकता है।
CVE-2026-33435 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन भेद्यता की गंभीरता और RCE की क्षमता के कारण, इसका शोषण होने का खतरा है। यह भेद्यता HackerOne के माध्यम से ggamno द्वारा रिपोर्ट की गई थी। CISA KEV सूची में अभी तक शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं है, लेकिन भेद्यता की प्रकृति को देखते हुए, इसका जल्द ही शोषण हो सकता है।
Organizations using Weblate for translation management, particularly those with multiple users and permissive project creation policies, are at risk. Shared hosting environments where users have the ability to create projects are also particularly vulnerable, as an attacker could potentially compromise the entire hosting instance.
• python / server:
# Check for suspicious file modifications in the project backup directory
find /path/to/weblate/project_backups -mtime -1 -type f• generic web:
# Check Weblate logs for errors related to project backups
grep -i 'backup' /var/log/weblate/error.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (24% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33435 को कम करने के लिए, Weblate को तुरंत संस्करण 5.17.0 में अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, प्रोजेक्ट बैकअप को केवल उन उपयोगकर्ताओं तक सीमित किया जा सकता है जिनके पास प्रोजेक्ट बनाने की अनुमति है। यह भेद्यता के दायरे को कम करने में मदद करेगा। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग दुर्भावनापूर्ण अनुरोधों को ब्लॉक करने के लिए किया जा सकता है। Weblate के नवीनतम सुरक्षा अपडेट के लिए Weblate के आधिकारिक GitHub रिपॉजिटरी की निगरानी करना भी महत्वपूर्ण है। अपग्रेड के बाद, यह सत्यापित करें कि बैकअप प्रक्रिया ठीक से काम कर रही है और कोई त्रुटि नहीं है।
Actualice Weblate a la versión 5.17 o posterior para mitigar la vulnerabilidad. Si no puede actualizar inmediatamente, restrinja el acceso a las copias de seguridad del proyecto, ya que solo son accesibles para usuarios con permisos para crear proyectos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33435 Weblate में एक रिमोट कोड एग्जीक्यूशन भेद्यता है जो प्रोजेक्ट बैकअप प्रक्रिया में फ़िल्टरिंग की कमी के कारण उत्पन्न होती है।
यदि आप Weblate के 5.0.0 से 5.17 तक के संस्करणों का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
Weblate को संस्करण 5.17.0 में अपडेट करें। यदि अपग्रेड संभव नहीं है, तो प्रोजेक्ट बैकअप तक पहुंच को सीमित करें।
CVE-2026-33435 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसका शोषण होने का खतरा है।
आप Weblate के आधिकारिक GitHub रिपॉजिटरी पर सलाहकार पा सकते हैं: https://github.com/WeblateOrg/weblate/pull/18549
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।