HIGHCVE-2025-68279CVSS 7.7

Weblateにおいて、シンボリックリンクを悪用した任意のファイル読み出しの脆弱性

Q: CVE-2025-68279 — 任意ファイルアクセス in Weblateとは何ですか？

CVE-2025-68279は、Weblateのバージョン5.9.2以前に存在する、シンボリックリンクの悪用による任意ファイルアクセス脆弱性です。攻撃者は、この脆弱性を利用して、サーバー上の任意のファイルを読み出す可能性があります。

Q: CVE-2025-68279 in Weblateの影響はありますか？

はい、Weblateのバージョン5.9.2以前を使用している場合、この脆弱性による影響を受ける可能性があります。機密情報の漏洩や、Weblateサーバーの不正利用につながる可能性があります。

Q: CVE-2025-68279 in Weblateを修正するにはどうすればよいですか？

Weblateのバージョン5.15.1へのアップグレードが最も効果的な修正方法です。アップグレードが困難な場合は、ファイルシステムレベルのアクセス制御やWAFの導入を検討してください。

Q: CVE-2025-68279に関するWeblateの公式アドバイザリはどこで入手できますか？

Weblateの公式アドバイザリは、Weblateの公式ウェブサイトまたはセキュリティアナウンスメントで確認できます。

プラットフォーム

python

コンポーネント

weblate

修正版

5.15.2

5.15.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-68279は、Weblateのバージョン5.9.2以前に存在する任意ファイルアクセス脆弱性です。攻撃者は、悪意のあるシンボリックリンクをリポジトリに挿入することで、サーバー上の任意のファイルを読み出すことが可能になります。この脆弱性は、機密情報の漏洩につながる可能性があります。Weblateのバージョン5.15.1で修正されており、速やかなアップグレードが推奨されます。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はWeblateサーバーのファイルシステムにアクセスし、機密情報を盗み出す可能性があります。例えば、設定ファイル、データベースのバックアップ、ソースコードなどが標的となる可能性があります。攻撃者は、この脆弱性を利用して、Weblateサーバー上でコードを実行したり、他のシステムへの攻撃の足がかりにしたりする可能性も否定できません。シンボリックリンクの悪用は、他のシステムへの横展開を容易にする可能性があります。

悪用の状況

この脆弱性は、2025年12月18日に公開されました。現時点では、公的なPoCは確認されていませんが、シンボリックリンクの悪用は一般的な攻撃手法であり、悪用される可能性はあります。CISA KEVカタログへの登録状況は不明です。Jason Marcello氏による責任ある情報開示により、脆弱性が特定されました。

リスク対象者翻訳中…

Organizations using Weblate for translation management, particularly those hosting Weblate instances on shared hosting environments or with limited file system access controls, are at increased risk. Legacy Weblate configurations that haven't been regularly updated are also more vulnerable.

検出手順翻訳中…

• python / server:

find /opt/weblate -type l -print # Check for symbolic links in Weblate directories

• python / server:

journalctl -u weblate -f | grep "symbolic link" # Monitor Weblate logs for symbolic link related errors

• generic web:

curl -I http://your-weblate-instance/path/to/symlink%20../sensitive_file.txt # Attempt to access a file via a crafted symbolic link

攻撃タイムライン

2025-12-18Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.07% (20% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントweblate

ベンダーosv

影響範囲修正版

< 5.15.1 – < 5.15.15.15.2

—5.15.1

弱点分類 (CWE)

CWE-22 CWE-59 CWE-200

タイムライン

予約済み2025-12-16
公開日2025-12-18
更新日2025-12-20
EPSS 更新日2026-03-23

公開後1日でパッチ適用

緩和策と回避策

Weblateのバージョン5.15.1へのアップグレードが最も効果的な対策です。アップグレードが困難な場合は、シンボリックリンクの利用を制限するファイルシステムレベルのアクセス制御を検討してください。WAF（Web Application Firewall）を導入し、悪意のあるシンボリックリンクのパターンを検出・ブロックするルールを設定することも有効です。また、リポジトリの入力検証を強化し、シンボリックリンクの挿入を防止することも重要です。アップグレード後、Weblateのログを監視し、異常なファイルアクセスがないか確認してください。

修正方法翻訳中…

Actualice Weblate a la versión 5.15.1 o superior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos mediante enlaces simbólicos. La actualización se puede realizar a través del gestor de paquetes de Python (pip) o siguiendo las instrucciones de actualización proporcionadas por WeblateOrg.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-68279 — 任意ファイルアクセス in Weblateとは何ですか？