Platform
python
Component
wlc
Opgelost in
1.17.3
1.17.2
CVE-2026-23535 beschrijft een Path Traversal kwetsbaarheid in Weblate CLI (wlc), een Python-tool voor het beheren van vertaalprojecten. Deze kwetsbaarheid stelt een aanvaller in staat om bestanden naar een willekeurige locatie op het systeem te schrijven via een kwaadwillende server. De kwetsbaarheid treft versies van wlc tot en met 1.9. Een fix is beschikbaar in versie 1.17.2.
De Path Traversal kwetsbaarheid in wlc maakt het mogelijk voor een aanvaller om bestanden naar willekeurige locaties op het systeem te schrijven. Dit kan leiden tot het overschrijven van kritieke systeembestanden, het uitvoeren van schadelijke code of het verkrijgen van ongeautoriseerde toegang tot gevoelige informatie. De kwetsbaarheid wordt uitgebuit door een kwaadwillende server die een speciaal geconstrueerd bestand aanbiedt dat wlc downloadt. De impact is aanzienlijk, aangezien een aanvaller volledige controle over het systeem kan verkrijgen.
Deze kwetsbaarheid werd gerapporteerd door [wh1zee] via HackerOne. Er is geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven. De kwetsbaarheid is openbaar gemaakt op 2026-01-16.
Organizations and individuals using the Weblate CLI client, particularly those who rely on automated workflows involving file downloads from external or untrusted sources, are at risk. Shared hosting environments where multiple users share the same system and Weblate CLI client installation are also particularly vulnerable.
• python / generic web:
# Check for wlc version
wlc --version• python / generic web:
# Monitor for unusual file creation patterns in the user's home directory or other writable locations.
find /home/$USER -type f -mmin -60 -print• python / generic web:
# Inspect network traffic for suspicious file download requests.
# (Requires network monitoring tools like tcpdump or Wireshark)disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-23535 is het upgraden van Weblate CLI (wlc) naar versie 1.17.2 of hoger. Indien een upgrade momenteel niet mogelijk is, vermijd dan het gebruik van de wlc download functie met servers die niet als betrouwbaar zijn geclassificeerd. Controleer de bron van de bestanden die gedownload worden met wlc download zorgvuldig. Er zijn geen specifieke WAF-regels of configuratiewerkarounds bekend, behalve het vermijden van de kwetsbare functie met onbetrouwbare bronnen. Na de upgrade, controleer de wlc installatie met wlc --version om te bevestigen dat de juiste versie is geïnstalleerd.
Actualice wlc a la versión 1.17.2 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura en ubicaciones arbitrarias. Puede actualizar usando el gestor de paquetes pip: `pip install -U wlc`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-23535 is a Path Traversal vulnerability in the Weblate CLI client that allows a malicious server to write files to arbitrary locations.
You are affected if you are using Weblate CLI client versions 1.9 or earlier.
Upgrade to version 1.17.2 or later. As a temporary workaround, avoid using wlc download with untrusted servers.
There is currently no indication of active exploitation in the wild.
Refer to the Weblate GitHub pull request: https://github.com/WeblateOrg/wlc/pull/1128
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.