Plataforma
python
Componente
wlc
Corrigido em
1.17.3
1.17.2
A vulnerabilidade CVE-2026-23535 é um Path Traversal encontrado no wlc, uma ferramenta Python. Essa falha permite que um servidor malicioso instrua o download multi-tradução a escrever em locais arbitrários no sistema. A vulnerabilidade afeta versões do wlc até 1.9 e foi corrigida na versão 1.17.2. A mitigação imediata envolve evitar o uso do comando wlc download com servidores não confiáveis.
Um atacante pode explorar essa vulnerabilidade para escrever arquivos em locais arbitrários no sistema onde o wlc está sendo executado. Isso pode levar à execução de código malicioso, comprometimento do sistema e roubo de dados sensíveis. A capacidade de escrever em locais arbitrários significa que o atacante pode potencialmente modificar arquivos de configuração, instalar backdoors ou até mesmo assumir o controle total do sistema. A ausência de validação adequada na forma como o wlc lida com URLs fornecidas pelo servidor permite essa exploração.
A vulnerabilidade foi reportada por [wh1zee] via HackerOne e tornada pública em 16 de janeiro de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público não foi confirmada, mas a natureza da vulnerabilidade (Path Traversal) sugere que um PoC poderia ser desenvolvido relativamente facilmente.
Organizations and individuals using the Weblate CLI client, particularly those who rely on automated workflows involving file downloads from external or untrusted sources, are at risk. Shared hosting environments where multiple users share the same system and Weblate CLI client installation are also particularly vulnerable.
• python / generic web:
# Check for wlc version
wlc --version• python / generic web:
# Monitor for unusual file creation patterns in the user's home directory or other writable locations.
find /home/$USER -type f -mmin -60 -print• python / generic web:
# Inspect network traffic for suspicious file download requests.
# (Requires network monitoring tools like tcpdump or Wireshark)disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A correção primária é atualizar o wlc para a versão 1.17.2 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, a mitigação recomendada é evitar o uso do comando wlc download com servidores não confiáveis. Isso pode ser implementado restringindo as fontes de onde o wlc baixa traduções. Considere também implementar regras em um Web Application Firewall (WAF) para bloquear solicitações que tentem acessar arquivos fora do diretório esperado. Após a atualização, confirme a correção verificando a versão do wlc e executando testes de download com servidores confiáveis para garantir que a escrita arbitrária de arquivos foi impedida.
Actualice wlc a la versión 1.17.2 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura en ubicaciones arbitrarias. Puede actualizar usando el gestor de paquetes pip: `pip install -U wlc`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-23535 is a Path Traversal vulnerability in the Weblate CLI client that allows a malicious server to write files to arbitrary locations.
You are affected if you are using Weblate CLI client versions 1.9 or earlier.
Upgrade to version 1.17.2 or later. As a temporary workaround, avoid using wlc download with untrusted servers.
There is currently no indication of active exploitation in the wild.
Refer to the Weblate GitHub pull request: https://github.com/WeblateOrg/wlc/pull/1128
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.