प्लेटफ़ॉर्म
python
घटक
weblate
में ठीक किया गया
5.17.1
5.17
CVE-2026-34242 Weblate में एक Arbitrary File Access भेद्यता है। इस भेद्यता के कारण, हमलावर सिंबोलिक लिंक का उपयोग करके Weblate रिपॉजिटरी के बाहर स्थित फ़ाइलों को डाउनलोड कर सकते हैं। यह भेद्यता Weblate के 0.0.0 से कम संस्करण 5.17 तक के संस्करणों को प्रभावित करती है। Weblate 5.17.0 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Weblate रिपॉजिटरी के बाहर स्थित संवेदनशील फ़ाइलों को एक्सेस करने की अनुमति दे सकती है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, डेटाबेस बैकअप, या अन्य गोपनीय जानकारी। हमलावर सिंबोलिक लिंक का उपयोग करके सिस्टम पर अन्य स्थानों पर भी नेविगेट कर सकते हैं, जिससे संभावित रूप से अधिक व्यापक समझौता हो सकता है। इस भेद्यता का शोषण करने के लिए, हमलावर को Weblate इंस्टेंस तक पहुंच की आवश्यकता होगी और ZIP डाउनलोड सुविधा का उपयोग करने में सक्षम होना होगा। यह भेद्यता विशेष रूप से उन Weblate इंस्टेंस के लिए जोखिम भरा है जो सार्वजनिक रूप से सुलभ हैं या जिनमें संवेदनशील डेटा संग्रहीत है।
CVE-2026-34242 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह सार्वजनिक रूप से ज्ञात है और इसका शोषण किया जा सकता है। यह भेद्यता CISA KEV में शामिल नहीं है। एक सार्वजनिक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) उपलब्ध होने की संभावना है, जो इसका शोषण करना आसान बनाता है।
Organizations using Weblate for translation management, particularly those hosting Weblate instances on shared hosting environments or with inadequate file system permissions, are at increased risk. Legacy Weblate deployments running older, unpatched versions are also particularly vulnerable.
• python / server:
find /opt/weblate/ -name '*.zip' -type f -print0 | xargs -0 grep -i '..\..' # Search for symlink patterns in downloaded ZIP files• generic web:
curl -I http://your-weblate-instance/download/your_repo.zip | grep 'Location:' # Check for unusual Location headers during downloaddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (3% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34242 को कम करने के लिए, Weblate को संस्करण 5.17.0 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, Weblate रिपॉजिटरी के बाहर सिंबोलिक लिंक के उपयोग को प्रतिबंधित करने के लिए फ़ाइल सिस्टम अनुमतियों को कॉन्फ़िगर किया जा सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके ZIP डाउनलोड सुविधा के लिए अनुरोधों की निगरानी और अवरुद्ध की जा सकती है। Weblate इंस्टेंस के लिए नियमित सुरक्षा ऑडिट और भेद्यता स्कैनिंग भी महत्वपूर्ण है।
Actualice Weblate a la versión 5.17 o superior para mitigar la vulnerabilidad. Esta versión corrige la falta de verificación de archivos descargados, evitando que se sigan enlaces simbólicos fuera del repositorio.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34242 Weblate में एक भेद्यता है जो हमलावरों को सिंबोलिक लिंक का उपयोग करके अनधिकृत फ़ाइलों को एक्सेस करने की अनुमति देती है।
यदि आप Weblate के संस्करण 0.0.0 से कम 5.17 चला रहे हैं, तो आप प्रभावित हैं।
Weblate को संस्करण 5.17.0 या बाद के संस्करण में अपडेट करें।
CVE-2026-34242 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह सार्वजनिक रूप से ज्ञात है और इसका शोषण किया जा सकता है।
https://github.com/WeblateOrg/weblate/pull/18683
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।