HIGHCVE-2026-34242CVSS 7.7

Weblate: シンボリックリンクによる任意のファイル読み出し

Q: CVE-2026-34242 — 任意ファイルアクセス in Weblateとは何ですか？

CVE-2026-34242は、WeblateのZIPダウンロード機能における任意ファイルアクセス脆弱性です。攻撃者はシンボリックリンクを悪用し、リポジトリ外のファイルにアクセスできる可能性があります。

Q: CVE-2026-34242 in Weblateに影響を受けますか？

Weblateのバージョンが0.0.0から5.16までの場合は、影響を受けます。バージョン5.17.0以降にアップグレードすることで、この脆弱性は修正されます。

Q: CVE-2026-34242 in Weblateを修正するにはどうすればよいですか？

Weblateのバージョンを5.17.0以降にアップグレードしてください。アップグレードがすぐに実行できない場合は、ZIPダウンロード機能の使用を一時的に無効にするか、WAFルールを実装することを検討してください。

Q: CVE-2026-34242は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開PoCは確認されていませんが、注意が必要です。

Q: CVE-2026-34242のWeblate公式アドバイザリはどこで入手できますか？

WeblateのGitHubリポジトリでアドバイザリを確認できます: https://github.com/WeblateOrg/weblate/pull/18683

プラットフォーム

python

コンポーネント

weblate

修正版

5.17.1

5.17

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-34242は、WeblateのZIPダウンロード機能における任意ファイルアクセス脆弱性です。この脆弱性により、攻撃者はシンボリックリンクを悪用して、本来アクセスできないリポジトリ外のファイルにアクセスできる可能性があります。影響を受けるバージョンはWeblate 0.0.0から5.16までのバージョンです。Weblate 5.17.0以降で修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がWeblateサーバー上の機密ファイル（設定ファイル、ソースコードなど）をダウンロードしたり、改ざんしたりする可能性があります。シンボリックリンクを悪用することで、Weblateリポジトリの境界を越えてファイルシステムにアクセスできるため、攻撃範囲は広がる可能性があります。攻撃者は、Weblateサーバー上で実行されている他のアプリケーションに影響を与える可能性もあります。この脆弱性は、Weblateをホストしているサーバーのセキュリティ全体を脅かす可能性があります。

悪用の状況

この脆弱性は2026年4月15日に公開されました。現時点では、この脆弱性を悪用する公開PoCは確認されていませんが、シンボリックリンクの悪用は一般的な攻撃手法であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。

リスク対象者翻訳中…

Organizations using Weblate for translation management, particularly those hosting Weblate instances on shared hosting environments or with inadequate file system permissions, are at increased risk. Legacy Weblate deployments running older, unpatched versions are also particularly vulnerable.

検出手順翻訳中…

• python / server:

find /opt/weblate/ -name '*.zip' -type f -print0 | xargs -0 grep -i '..\..' # Search for symlink patterns in downloaded ZIP files

• generic web:

curl -I http://your-weblate-instance/download/your_repo.zip | grep 'Location:' # Check for unusual Location headers during download

攻撃タイムライン

2026-04-15Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.01% (3% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントweblate

ベンダーWeblateOrg

影響範囲修正版

< 5.17 – < 5.175.17.1

—5.17

弱点分類 (CWE)

CWE-22 CWE-59 CWE-200

タイムライン

予約済み2026-03-26
公開日2026-04-15
EPSS 更新日2026-04-23

緩和策と回避策

まず、Weblateのバージョンを5.17.0以降にアップグレードすることを強く推奨します。アップグレードがすぐに実行できない場合は、ZIPダウンロード機能の使用を一時的に無効にするか、シンボリックリンクを悪用される可能性のあるディレクトリへのアクセスを制限するWAFルールを実装することを検討してください。Weblateのファイルシステムへのアクセス権を最小限に抑えることも有効です。アップグレード後、Weblateのログを監視し、異常なファイルアクセスがないか確認してください。

修正方法翻訳中…

Actualice Weblate a la versión 5.17 o superior para mitigar la vulnerabilidad. Esta versión corrige la falta de verificación de archivos descargados, evitando que se sigan enlaces simbólicos fuera del repositorio.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-34242 — 任意ファイルアクセス in Weblateとは何ですか？