Plataforma
python
Componente
weblate
Corrigido em
5.17.1
5.17
A vulnerabilidade CVE-2026-34393 é uma elevação de privilégios identificada na API de correção do Weblate. Devido à falta de restrições adequadas no escopo das edições, um atacante pode potencialmente modificar dados sensíveis. Essa falha afeta as versões do Weblate desde 0.0.0 até a versão 5.16. A correção foi implementada na versão 5.17.0.
A principal consequência da vulnerabilidade CVE-2026-34393 é a possibilidade de um atacante obter privilégios elevados dentro do sistema Weblate. Isso pode permitir a modificação não autorizada de traduções, configurações e outros dados críticos. Um atacante com acesso à API de correção, mesmo sem permissões administrativas, pode explorar essa falha para comprometer a integridade dos dados e potencialmente assumir o controle de partes do sistema. A ausência de validação adequada do escopo das edições abre uma brecha significativa para a manipulação de informações.
A vulnerabilidade foi descoberta e reportada via GitHub por @tikket1 e @DavidCarliez. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A vulnerabilidade foi publicada em 2026-04-15. A ausência de um KEV listing indica uma probabilidade de exploração considerada baixa a média, dependendo da exposição do Weblate em ambientes de produção.
Organizations utilizing Weblate for localization, particularly those with publicly accessible instances or those lacking robust access control configurations, are at risk. Shared hosting environments where multiple Weblate instances share resources are also particularly vulnerable.
• python / server:
# Check Weblate version
python3 -c 'import weblate; print(weblate.__version__)'• generic web:
# Check for exposed patching API endpoint
curl -I https://your-weblate-instance/api/patches/disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-34393 é a atualização imediata para a versão 5.17.0 do Weblate, que inclui a correção para essa falha. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso à API de correção apenas a usuários autorizados e monitorar de perto as atividades relacionadas à edição de traduções. Não há workarounds conhecidos além da atualização. Após a atualização, confirme a correção verificando os logs do sistema em busca de tentativas de acesso não autorizado à API de correção.
Actualice Weblate a la versión 5.17 o posterior para mitigar la vulnerabilidad de escalada de privilegios en el API de usuario. Esta actualización corrige la falta de restricciones adecuadas en el alcance de las ediciones, previniendo que usuarios no autorizados modifiquen datos sensibles.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34393 is a high-severity vulnerability in Weblate versions before 5.17, allowing unauthorized modification of translations due to insufficient scope limitations in the patching API.
Yes, if you are running Weblate versions 0.0.0 through 5.16, you are affected by this vulnerability and should upgrade immediately.
Upgrade Weblate to version 5.17.0 or later to resolve the vulnerability. If immediate upgrade is not possible, implement stricter access controls.
Currently, there are no publicly known active exploitation campaigns for CVE-2026-34393, but the ease of exploitation warrants immediate attention.
Refer to the official Weblate security advisory for detailed information and updates: [https://weblate.org/security/](https://weblate.org/security/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.