CVE-2025-68279 是 Weblate 版本小于或等于 5.9.2 的一个任意文件访问漏洞。该漏洞允许攻击者通过在仓库中利用精心构造的符号链接,读取服务器文件系统中的任意文件,可能导致敏感信息泄露。建议立即升级至 5.15.1 版本以修复此安全问题。
攻击者可以利用此漏洞读取服务器上的任意文件,包括配置文件、源代码、数据库备份等。这可能导致敏感信息泄露,例如 API 密钥、数据库密码、用户凭据等。如果攻击者能够访问包含敏感信息的配置文件,他们可能能够进一步控制服务器或访问其他系统。由于该漏洞允许读取任意文件,因此其影响范围可能非常广泛,取决于服务器上存储的文件内容。
该漏洞由 Jason Marcello 负责任地披露。目前尚未公开发现利用此漏洞的活动,但由于该漏洞允许读取任意文件,因此存在被利用的风险。该漏洞已发布,建议尽快采取缓解措施。CISA 尚未将其添加到 KEV 目录。
Organizations using Weblate for translation management, particularly those hosting Weblate instances on shared hosting environments or with limited file system access controls, are at increased risk. Legacy Weblate configurations that haven't been regularly updated are also more vulnerable.
• python / server:
find /opt/weblate -type l -print # Check for symbolic links in Weblate directories• python / server:
journalctl -u weblate -f | grep "symbolic link" # Monitor Weblate logs for symbolic link related errors• generic web:
curl -I http://your-weblate-instance/path/to/symlink%20../sensitive_file.txt # Attempt to access a file via a crafted symbolic linkdisclosure
漏洞利用状态
EPSS
0.07% (20% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Weblate 升级至 5.15.1 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来阻止包含恶意符号链接的请求。此外,应审查 Weblate 的仓库配置,确保没有允许创建符号链接的设置。限制 Weblate 进程的权限,使其只能访问必要的文件和目录,也可以降低风险。升级后,请验证 Weblate 版本是否已成功更新,并检查服务器日志中是否有异常活动。
Actualice Weblate a la versión 5.15.1 o superior. Esta versión corrige la vulnerabilidad de lectura arbitraria de archivos mediante enlaces simbólicos. La actualización se puede realizar a través del gestor de paquetes de Python (pip) o siguiendo las instrucciones de actualización proporcionadas por WeblateOrg.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-68279 是 Weblate 版本小于或等于 5.9.2 的一个安全漏洞,攻击者可以通过利用仓库中的符号链接读取服务器上的任意文件。
如果您正在使用 Weblate 版本小于或等于 5.9.2,则可能受到此漏洞的影响。
建议立即将 Weblate 升级至 5.15.1 或更高版本以修复此漏洞。
目前尚未公开发现利用此漏洞的活动,但存在被利用的风险。
请访问 Weblate 的官方安全公告页面,以获取有关此漏洞的更多信息和修复指南。
上传你的 requirements.txt 文件,立即知道是否受影响。