Platform
python
Component
weblate
Opgelost in
5.17.1
5.17
CVE-2026-34242 beschrijft een Arbitrary File Access kwetsbaarheid in Weblate. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde toegang te krijgen tot bestanden via de ZIP download functionaliteit. De kwetsbaarheid treft Weblate versies van 0.0.0 tot en met 5.16. Een patch is beschikbaar in versie 5.17.0.
De kwetsbaarheid in Weblate maakt misbruik van de ZIP download functionaliteit. Door het ontbreken van adequate verificatie van gedownloade bestanden, kan een aanvaller symlinks buiten de repository volgen. Dit stelt hen in staat om willekeurige bestanden op het systeem te downloaden, potentieel gevoelige informatie te onthullen of zelfs de integriteit van het systeem te compromitteren. De impact is aanzienlijk, aangezien een succesvolle exploitatie kan leiden tot data-exfiltratie en mogelijk verdere aanvalsmogelijkheden.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-04-15. Er zijn momenteel geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid, maar de mogelijkheid van exploitatie bestaat gezien de relatieve eenvoud van de aanval. De kwetsbaarheid is gemeld door @DavidCarliez via GitHub en is opgenomen in de Weblate project repository.
Organizations using Weblate for translation management, particularly those hosting Weblate instances on shared hosting environments or with inadequate file system permissions, are at increased risk. Legacy Weblate deployments running older, unpatched versions are also particularly vulnerable.
• python / server:
find /opt/weblate/ -name '*.zip' -type f -print0 | xargs -0 grep -i '..\..' # Search for symlink patterns in downloaded ZIP files• generic web:
curl -I http://your-weblate-instance/download/your_repo.zip | grep 'Location:' # Check for unusual Location headers during downloaddisclosure
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-34242 is het upgraden van Weblate naar versie 5.17.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de ZIP download functionaliteit via een Web Application Firewall (WAF) of proxy. Controleer de configuratie van Weblate om ervoor te zorgen dat symlink-tracking is uitgeschakeld. Na de upgrade, verifieer de fix door te proberen een bestand buiten de repository te downloaden via de ZIP download functionaliteit; dit zou moeten mislukken.
Actualice Weblate a la versión 5.17 o superior para mitigar la vulnerabilidad. Esta versión corrige la falta de verificación de archivos descargados, evitando que se sigan enlaces simbólicos fuera del repositorio.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-34242 is a HIGH severity vulnerability in Weblate allowing attackers to download arbitrary files by exploiting symlink traversal in the ZIP download feature.
You are affected if you are running Weblate versions 0.0.0 through 5.16. Upgrade to 5.17.0 or later to resolve the issue.
Upgrade Weblate to version 5.17.0 or later. As a temporary workaround, restrict the Weblate user's file system access.
There are currently no known public exploits or active campaigns targeting CVE-2026-34242, but the vulnerability's ease of exploitation warrants vigilance.
Refer to the Weblate GitHub repository for details and the patch: https://github.com/WeblateOrg/weblate/pull/18683
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.