Platform
python
Component
weblate
Opgelost in
5.15.2
5.15.1
CVE-2025-68279 beschrijft een kwetsbaarheid van het type Arbitrary File Access in Weblate, een web-based vertaalmanagementtool. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden van de server te lezen via de manipulatie van symbolische links in de repository. De kwetsbaarheid treft versies van Weblate tot en met 5.9.2. Een fix is beschikbaar in versie 5.15.1.
De impact van deze kwetsbaarheid is significant, aangezien een succesvolle exploitatie de aanvaller toegang kan geven tot gevoelige informatie op de server. Door het uitbuiten van symbolische links kan een aanvaller bestanden benaderen die normaal gesproken niet toegankelijk zouden zijn, zoals configuratiebestanden, database dumps of broncode. Dit kan leiden tot datalekken, compromittering van de server en mogelijk verdere toegang tot het netwerk. De mogelijkheid om willekeurige bestanden te lezen, maakt deze kwetsbaarheid bijzonder gevaarlijk, vergelijkbaar met scenario's waarbij gevoelige credentials of API-sleutels worden blootgesteld.
Op dit moment is er geen publieke exploitatie van deze kwetsbaarheid bekend. De kwetsbaarheid is openbaar gemaakt op 2025-12-18. De EPSS score is nog niet bekend, maar gezien de mogelijkheid om willekeurige bestanden te lezen, is een medium tot hoge waarschijnlijkheid van exploitatie te verwachten. Het is aan te raden om deze kwetsbaarheid serieus te nemen en zo snel mogelijk te patchen.
Organizations using Weblate for translation management, particularly those hosting Weblate instances on shared hosting environments or with limited file system access controls, are at increased risk. Legacy Weblate configurations that haven't been regularly updated are also more vulnerable.
• python / server:
find /opt/weblate -type l -print # Check for symbolic links in Weblate directories• python / server:
journalctl -u weblate -f | grep "symbolic link" # Monitor Weblate logs for symbolic link related errors• generic web:
curl -I http://your-weblate-instance/path/to/symlink%20../sensitive_file.txt # Attempt to access a file via a crafted symbolic linkdisclosure
Exploit Status
EPSS
0.07% (20% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Weblate versie 5.15.1 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de rechten van de gebruiker die de repository beheert, zodat deze geen toegang heeft tot gevoelige bestanden. Het implementeren van een Web Application Firewall (WAF) met regels die symbolische link-manipulatie detecteren en blokkeren kan ook helpen. Controleer de Weblate configuratie om ervoor te zorgen dat symbolische links niet onnodig worden gebruikt. Na de upgrade, verifieer de fix door te proberen een symbolische link te creëren die naar een gevoelig bestand wijst en controleer of de toegang wordt geweigerd.
Actualice Weblate a la versión 5.15.1 o superior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos mediante enlaces simbólicos. La actualización se puede realizar a través del gestor de paquetes de Python (pip) o siguiendo las instrucciones de actualización proporcionadas por WeblateOrg.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-68279 is a vulnerability in Weblate versions ≤5.9.2 that allows attackers to read arbitrary files on the server via symbolic link manipulation, carrying a CVSS score of 7.7 (HIGH).
You are affected if you are running Weblate version 5.9.2 or earlier. Upgrade to version 5.15.1 or later to mitigate the risk.
Upgrade Weblate to version 5.15.1 or later. If immediate upgrade is not possible, restrict file system access and consider WAF rules.
As of the current disclosure date, there is no evidence of active exploitation, but the vulnerability's nature suggests potential for future exploitation.
Refer to the official Weblate security advisory for detailed information and updates: [https://weblate.org/security/](https://weblate.org/security/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.