Plataforma
python
Componente
wlc
Corrigido em
1.17.1
1.17.0
O CVE-2026-22250 é uma vulnerabilidade de bypass de verificação SSL identificada no wlc, um projeto Python. Essa falha permite que URLs maliciosas estabeleçam conexões sem a devida verificação de certificado, comprometendo a integridade dos dados transmitidos. Versões do wlc anteriores ou iguais a 1.9 são afetadas, e a correção foi implementada na versão 1.17.0.
A principal consequência dessa vulnerabilidade é a possibilidade de estabelecer conexões SSL/TLS inseguras. Um atacante pode criar URLs especialmente elaboradas que contornam a verificação de certificado, permitindo a interceptação e manipulação do tráfego de rede. Isso pode levar ao roubo de informações confidenciais, como credenciais de autenticação ou dados sensíveis transmitidos através da aplicação. Embora a severidade seja classificada como baixa, a exploração bem-sucedida pode comprometer a segurança de sistemas que dependem do wlc para gerenciamento de traduções.
Esta vulnerabilidade foi reportada por [wh1zee] através do HackerOne. Não há evidências públicas de exploração ativa no momento. A vulnerabilidade foi publicada em 2026-01-12. A pontuação de severidade CVSS é 2.5 (LOW), indicando uma probabilidade relativamente baixa de exploração em larga escala, mas ainda assim requer atenção.
Organizations and individuals using Weblate CLI for automated translation workflows, particularly those relying on external or untrusted URL sources for connection configuration, are at risk. Legacy Weblate CLI installations running versions prior to 1.17.0 are also vulnerable.
• python / cli: Inspect Weblate CLI configuration files for suspicious URLs or connections to untrusted hosts. • python / cli: Monitor Weblate CLI logs for SSL verification errors or unusual connection attempts. • generic web: Check for unusual network traffic patterns originating from Weblate CLI processes.
disclosure
Status do Exploit
EPSS
0.01% (percentil 0%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização para a versão 1.17.0 ou superior do wlc, que inclui a correção para essa vulnerabilidade. Enquanto a atualização não for possível, é crucial evitar o uso de configurações não confiáveis do wlc, pois elas podem facilitar a exploração da falha. Implementar regras de firewall para restringir o acesso à aplicação apenas de fontes confiáveis também pode ajudar a reduzir o risco. Monitore os logs do wlc em busca de tentativas de conexão com URLs suspeitas.
Atualize o pacote `wlc` para a versão 1.17.0 ou superior. Isso pode ser feito usando o gerenciador de pacotes pip com o comando `pip install --upgrade wlc`. Certifique-se de verificar se a atualização foi realizada corretamente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22250 is a LOW severity vulnerability in Weblate CLI versions 1.9 and earlier that allows attackers to bypass SSL verification for crafted URLs, potentially leading to insecure connections.
You are affected if you are using Weblate CLI versions 1.9 or earlier. Upgrade to version 1.17.0 or later to mitigate the vulnerability.
Upgrade Weblate CLI to version 1.17.0 or later. As a temporary workaround, avoid using untrusted Weblate CLI configurations.
There is no current evidence of CVE-2026-22250 being actively exploited, but it is important to apply the fix to prevent potential future attacks.
Refer to the Weblate GitHub pull request: https://github.com/WeblateOrg/wlc/pull/1097 for details and the fix.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.