プラットフォーム
python
コンポーネント
wlc
修正版
1.17.3
1.17.2
CVE-2026-23535は、Python製のWeblate CLI (wlc)におけるPath Traversalの脆弱性です。この脆弱性を悪用されると、攻撃者は悪意のあるサーバーからの指示に基づいて、システム上の任意の場所にファイルを書き込むことが可能になります。影響を受けるバージョンは、Weblate CLI (wlc)のバージョン1.9以下です。修正版である1.17.2へのアップデートが推奨されます。
この脆弱性は、攻撃者がWeblate CLI (wlc)のwlc downloadコマンドを悪用し、悪意のあるサーバーから指示を受け、システム上の任意の場所にファイルを書き込めることを意味します。これにより、機密情報の窃取、システムの改ざん、さらにはリモートコード実行につながる可能性があります。特に、Weblate CLI (wlc)を信頼できないサーバーと連携させている環境では、深刻なリスクとなります。攻撃者は、Weblateの構成ファイルを改ざんしたり、悪意のあるスクリプトをシステムにインストールしたりすることが考えられます。
CVE-2026-23535は、HackerOneを通じて[wh1zee]氏から報告されました。現時点では、公開されているPoCは確認されていませんが、Path Traversal脆弱性は一般的に悪用が容易であるため、今後の攻撃の可能性は否定できません。CISAのKEVリストへの登録状況は不明です。NVDの公開日は2026年1月16日です。
Organizations and individuals using the Weblate CLI client, particularly those who rely on automated workflows involving file downloads from external or untrusted sources, are at risk. Shared hosting environments where multiple users share the same system and Weblate CLI client installation are also particularly vulnerable.
• python / generic web:
# Check for wlc version
wlc --version• python / generic web:
# Monitor for unusual file creation patterns in the user's home directory or other writable locations.
find /home/$USER -type f -mmin -60 -print• python / generic web:
# Inspect network traffic for suspicious file download requests.
# (Requires network monitoring tools like tcpdump or Wireshark)disclosure
エクスプロイト状況
EPSS
0.01% (2% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずWeblate CLI (wlc)をバージョン1.17.2以降にアップデートすることを強く推奨します。アップデートが困難な場合は、信頼できないサーバーとのwlc downloadコマンドの使用を避けることでリスクを軽減できます。また、Webサーバーのアクセス制限や、ファイルシステムのパーミッション設定を適切に行うことで、攻撃の影響範囲を限定することが可能です。Weblate CLI (wlc)のログを監視し、異常なファイルアクセスや書き込み操作を検知することも有効です。アップデート後、wlc --versionコマンドを実行し、バージョンが1.17.2以降であることを確認してください。
Actualice wlc a la versión 1.17.2 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura en ubicaciones arbitrarias. Puede actualizar usando el gestor de paquetes pip: `pip install -U wlc`.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-23535は、Weblate CLI (wlc)のバージョン1.9以下におけるPath Traversalの脆弱性です。悪意のあるサーバーからの指示により、任意の場所にファイルを書き込める可能性があります。
Weblate CLI (wlc)のバージョン1.9以下を使用している場合は影響があります。悪意のあるサーバーからの指示により、システム上の任意の場所にファイルを書き込める可能性があります。
Weblate CLI (wlc)をバージョン1.17.2以降にアップデートしてください。アップデートが困難な場合は、信頼できないサーバーとのwlc downloadコマンドの使用を避けてください。
現時点では、公開されているPoCは確認されていませんが、Path Traversal脆弱性は一般的に悪用が容易であるため、今後の攻撃の可能性は否定できません。
Weblateの公式アドバイザリは、GitHubリポジトリのプルリクエストを参照してください: https://github.com/WeblateOrg/wlc/pull/1128
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。