CVE-2026-23535 是 Weblate CLI Client 中的路径遍历漏洞,允许攻击者通过精心构造的服务器将文件写入任意位置。此漏洞影响 Weblate CLI Client 版本小于等于 1.9。建议用户尽快升级至 1.17.2 版本以修复此问题。
此漏洞的潜在影响非常严重。攻击者可以利用此漏洞将恶意文件写入服务器的任何位置,从而可能导致代码执行、数据泄露或系统被完全控制。攻击者可以通过控制 Weblate 服务器的下载过程,将恶意文件伪装成合法文件,诱使用户下载并执行。如果攻击者能够成功写入关键系统文件,则可能完全破坏 Weblate 服务的正常运行,甚至可能影响到整个服务器的安全。
此漏洞由 [wh1zee] 通过 HackerOne 报告。目前尚未公开可用的利用代码,但由于其路径遍历的本质,存在被利用的风险。该漏洞已发布,建议尽快采取措施。
Organizations and individuals using the Weblate CLI client, particularly those who rely on automated workflows involving file downloads from external or untrusted sources, are at risk. Shared hosting environments where multiple users share the same system and Weblate CLI client installation are also particularly vulnerable.
• python / generic web:
# Check for wlc version
wlc --version• python / generic web:
# Monitor for unusual file creation patterns in the user's home directory or other writable locations.
find /home/$USER -type f -mmin -60 -print• python / generic web:
# Inspect network traffic for suspicious file download requests.
# (Requires network monitoring tools like tcpdump or Wireshark)disclosure
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
CVSS 向量
为了缓解此漏洞,建议立即升级 Weblate CLI Client 至 1.17.2 或更高版本。如果无法立即升级,可以采取以下临时措施:避免使用 wlc download 命令与不可信的服务器交互。严格审查所有服务器的响应,确保其安全性。可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求,阻止攻击者利用此漏洞。升级后,请验证下载功能是否正常工作,并检查系统日志中是否存在异常活动。
Actualice wlc a la versión 1.17.2 o superior. Esto corrige la vulnerabilidad de path traversal que permite la escritura en ubicaciones arbitrarias. Puede actualizar usando el gestor de paquetes pip: `pip install -U wlc`.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-23535 是 Weblate CLI Client 版本小于等于 1.9 中的一个路径遍历漏洞,攻击者可以通过恶意服务器将文件写入任意位置。
如果您使用的是 Weblate CLI Client 版本小于等于 1.9,则您可能受到此漏洞的影响。
建议升级至 Weblate CLI Client 1.17.2 或更高版本。
目前尚未公开可用的利用代码,但由于其路径遍历的本质,存在被利用的风险。
请参考 Weblate GitHub 仓库的修复提交:https://github.com/WeblateOrg/wlc/pull/1128
上传你的 requirements.txt 文件,立即知道是否受影响。