プラットフォーム
python
コンポーネント
wlc
修正版
1.17.1
1.17.0
CVE-2026-22250は、Weblate CLIにおいてSSL検証がスキップされる脆弱性です。この脆弱性は、悪意のあるURLを通じて不正な接続を確立されるリスクをもたらします。影響を受けるバージョンはWeblate CLI 1.9以前です。この問題は、Weblateチームによって修正され、1.17.0で解決されています。
この脆弱性を悪用されると、攻撃者はSSL検証を回避し、Weblate CLIが不正なサーバーに接続することを許容できます。これにより、機密情報が盗まれたり、悪意のあるコードが実行されたりする可能性があります。特に、Weblate CLIの設定ファイルが外部からアクセス可能な場合、攻撃のリスクが高まります。この脆弱性は、Weblate CLIが信頼できないネットワーク環境で使用されている場合に、より深刻な影響をもたらす可能性があります。
この脆弱性は、HackerOneを通じて[wh1zee]氏によってWeblateチームに報告されました。現時点で、この脆弱性を悪用する公開されたPoCは確認されていません。CISA KEVリストには登録されていません。NVD公開日は2026年1月12日です。
Organizations and individuals using Weblate CLI for automated translation workflows, particularly those relying on external or untrusted URL sources for connection configuration, are at risk. Legacy Weblate CLI installations running versions prior to 1.17.0 are also vulnerable.
• python / cli: Inspect Weblate CLI configuration files for suspicious URLs or connections to untrusted hosts. • python / cli: Monitor Weblate CLI logs for SSL verification errors or unusual connection attempts. • generic web: Check for unusual network traffic patterns originating from Weblate CLI processes.
disclosure
エクスプロイト状況
EPSS
0.01% (0% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずWeblate CLIをバージョン1.17.0以降にアップデートすることを推奨します。アップデートが困難な場合は、信頼できないWeblate設定の使用を避けることでリスクを軽減できます。SSL検証を厳格に設定し、不正なURLからの接続をブロックするWAFやプロキシサーバーの導入も有効です。Weblate CLIの設定ファイルへのアクセスを制限することも重要です。
パッケージ `wlc` をバージョン 1.17.0 以降にアップデートしてください。これは、コマンド `pip install --upgrade wlc` を使用して pip パッケージマネージャーで行うことができます。アップデートが正常に完了したことを確認してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-22250は、Weblate CLIにおいてSSL検証がスキップされる脆弱性です。これにより、攻撃者は不正なURL経由で接続を確立できる可能性があります。
Weblate CLIのバージョンが1.9以前の場合、この脆弱性の影響を受けます。1.17.0以降にアップデートすることで修正されます。
Weblate CLIをバージョン1.17.0以降にアップデートしてください。アップデートが難しい場合は、信頼できないWeblate設定の使用を避けてください。
現時点で、この脆弱性を悪用する公開されたPoCは確認されていません。
WeblateのGitHubリポジトリ(https://github.com/WeblateOrg/wlc/pull/1097)で関連情報を確認できます。
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。