Plataforma
python
Componente
weblate
Corrigido em
5.17.1
5.17
A vulnerabilidade CVE-2026-34242 é uma falha de Acesso Arbitrário de Arquivos no Weblate, um sistema de tradução online. Essa falha permite que um atacante acesse arquivos fora do repositório, explorando a ausência de validação de links simbólicos na funcionalidade de download ZIP. As versões afetadas são aquelas anteriores à 5.17.0. A correção foi disponibilizada na versão 5.17.0.
A principal consequência dessa vulnerabilidade é a possibilidade de um atacante obter acesso não autorizado a arquivos sensíveis armazenados no servidor onde o Weblate está instalado. Ao explorar a falta de verificação de links simbólicos, um invasor pode direcionar o download ZIP para arquivos fora do diretório esperado, potencialmente incluindo informações confidenciais, código-fonte, chaves de API ou dados de configuração. O impacto pode variar dependendo da localização dos arquivos acessíveis e das permissões do usuário do Weblate. Em cenários mais graves, um atacante poderia até mesmo comprometer a integridade do sistema, dependendo das permissões concedidas ao usuário que executa o download.
A vulnerabilidade foi descoberta e reportada pelo pesquisador @DavidCarliez via GitHub. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A vulnerabilidade foi publicada em 2026-04-15. A probabilidade de exploração é considerada média, dada a facilidade de exploração e a disponibilidade de informações sobre a vulnerabilidade.
Organizations using Weblate for translation management, particularly those hosting Weblate instances on shared hosting environments or with inadequate file system permissions, are at increased risk. Legacy Weblate deployments running older, unpatched versions are also particularly vulnerable.
• python / server:
find /opt/weblate/ -name '*.zip' -type f -print0 | xargs -0 grep -i '..\..' # Search for symlink patterns in downloaded ZIP files• generic web:
curl -I http://your-weblate-instance/download/your_repo.zip | grep 'Location:' # Check for unusual Location headers during downloaddisclosure
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-34242 é a atualização imediata para a versão 5.17.0 do Weblate, que corrige a vulnerabilidade. Se a atualização direta não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório de download ZIP através de regras de firewall ou WAF (Web Application Firewall). Além disso, revise as permissões do usuário do Weblate para garantir que ele tenha apenas o acesso mínimo necessário aos recursos do sistema. Após a atualização, confirme a correção verificando se o download ZIP não permite mais o acesso a arquivos fora do diretório do repositório.
Actualice Weblate a la versión 5.17 o superior para mitigar la vulnerabilidad. Esta versión corrige la falta de verificación de archivos descargados, evitando que se sigan enlaces simbólicos fuera del repositorio.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34242 is a HIGH severity vulnerability in Weblate allowing attackers to download arbitrary files by exploiting symlink traversal in the ZIP download feature.
You are affected if you are running Weblate versions 0.0.0 through 5.16. Upgrade to 5.17.0 or later to resolve the issue.
Upgrade Weblate to version 5.17.0 or later. As a temporary workaround, restrict the Weblate user's file system access.
There are currently no known public exploits or active campaigns targeting CVE-2026-34242, but the vulnerability's ease of exploitation warrants vigilance.
Refer to the Weblate GitHub repository for details and the patch: https://github.com/WeblateOrg/weblate/pull/18683
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.