Plataforma
python
Componente
weblate
Corrigido em
5.17.1
5.17
Uma vulnerabilidade de Execução Remota de Código (RCE) foi descoberta no Weblate, afetando versões de 5.0.0 até 5.17. A falha ocorre devido à falta de filtragem adequada de arquivos de configuração do Git e Mercurial durante o processo de backup de projetos, permitindo que um atacante execute código malicioso em determinadas circunstâncias. A atualização para a versão 5.17.0 corrige essa vulnerabilidade, e a restrição de acesso ao backup de projetos é uma medida de mitigação imediata.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante executar código arbitrário no servidor Weblate com as permissões do usuário que executa o backup. Isso pode levar ao comprometimento completo do servidor, permitindo o acesso não autorizado a dados confidenciais, a modificação de configurações do sistema e até mesmo a instalação de malware. O impacto é ampliado se o servidor Weblate for usado para gerenciar traduções de aplicativos críticos ou se contiver informações sensíveis sobre os usuários. A falta de filtragem de arquivos de configuração significa que um atacante pode injetar código malicioso diretamente no processo de backup, tornando a exploração mais fácil e discreta.
Esta vulnerabilidade foi reportada por ggamno via HackerOne e publicada em 2026-04-15. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um Proof of Concept (PoC) público não é confirmada, mas a natureza da vulnerabilidade (RCE) sugere que um PoC pode ser desenvolvido relativamente facilmente.
Organizations using Weblate for translation management, particularly those with multiple users and permissive project creation policies, are at risk. Shared hosting environments where users have the ability to create projects are also particularly vulnerable, as an attacker could potentially compromise the entire hosting instance.
• python / server:
# Check for suspicious file modifications in the project backup directory
find /path/to/weblate/project_backups -mtime -1 -type f• generic web:
# Check Weblate logs for errors related to project backups
grep -i 'backup' /var/log/weblate/error.logdisclosure
Status do Exploit
EPSS
0.08% (percentil 24%)
CISA SSVC
Vetor CVSS
A correção oficial para esta vulnerabilidade é a atualização para a versão 5.17.0 do Weblate. Se a atualização imediata não for possível, uma mitigação temporária é restringir o acesso ao recurso de backup de projetos apenas a usuários com permissões elevadas. Isso limita o escopo potencial da exploração, pois apenas usuários autorizados podem iniciar backups. Além disso, monitore os logs do Weblate em busca de atividades suspeitas relacionadas ao backup de projetos. Após a atualização, confirme a correção verificando se os arquivos de configuração do Git e Mercurial são devidamente filtrados durante o processo de backup.
Actualice Weblate a la versión 5.17 o posterior para mitigar la vulnerabilidad. Si no puede actualizar inmediatamente, restrinja el acceso a las copias de seguridad del proyecto, ya que solo son accesibles para usuarios con permisos para crear proyectos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33435 is a Remote Code Execution vulnerability in Weblate versions 5.0.0 through 5.16, allowing attackers to execute code during project backups if they have project creation privileges.
You are affected if you are running Weblate versions 5.0.0 through 5.16 and have not upgraded to 5.17.0 or later. Assess if users have project creation privileges.
Upgrade Weblate to version 5.17.0 or later. As a temporary workaround, restrict access to project creation to limit the attack surface.
There is currently no evidence of active exploitation in the wild, but the vulnerability's nature suggests it could be exploited.
Refer to the Weblate GitHub pull request: https://github.com/WeblateOrg/weblate/pull/18549
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.