CVE-2026-33435 是 Weblate 软件中发现的一处远程代码执行 (RCE) 漏洞。该漏洞源于项目备份功能未能正确过滤 Git 和 Mercurial 配置文件,导致未经授权的用户可能在特定情况下执行恶意代码。此漏洞影响 Weblate 5.0.0 到 5.17 版本。建议立即升级至 5.17.0 版本以消除风险。
攻击者可以利用此 RCE 漏洞在 Weblate 服务器上执行任意代码。成功利用此漏洞可能导致服务器完全被攻陷,攻击者可以访问、修改或删除敏感数据,甚至进一步入侵网络。由于项目备份功能通常包含项目配置信息,攻击者可能通过篡改这些配置信息来控制 Weblate 的行为。此漏洞的潜在影响范围取决于 Weblate 在组织中的角色和访问权限,可能涉及数据泄露、服务中断和声誉损害。
此漏洞由 ggamno 通过 HackerOne 平台报告。目前尚未公开发现针对此漏洞的公开利用程序 (PoC),但由于其 RCE 的严重性,建议尽快采取缓解措施。该漏洞已发布,并被分配了 CVSS 8.1 (高危) 评级,表明其潜在风险较高。CISA 尚未将其添加到 KEV 目录,但应持续关注相关信息。
Organizations using Weblate for translation management, particularly those with multiple users and permissive project creation policies, are at risk. Shared hosting environments where users have the ability to create projects are also particularly vulnerable, as an attacker could potentially compromise the entire hosting instance.
• python / server:
# Check for suspicious file modifications in the project backup directory
find /path/to/weblate/project_backups -mtime -1 -type f• generic web:
# Check Weblate logs for errors related to project backups
grep -i 'backup' /var/log/weblate/error.logdisclosure
漏洞利用状态
EPSS
0.08% (24% 百分位)
CISA SSVC
最有效的缓解措施是立即将 Weblate 升级至 5.17.0 或更高版本。如果无法立即升级,可以考虑限制对项目备份功能的可访问性,仅允许具有创建项目权限的用户访问。这可以显著降低攻击面。此外,监控 Weblate 服务器的日志文件,查找任何异常活动,例如未经授权的项目创建或配置更改。如果使用防火墙或代理服务器,可以配置规则以阻止对项目备份功能的恶意请求。
Actualice Weblate a la versión 5.17 o posterior para mitigar la vulnerabilidad. Si no puede actualizar inmediatamente, restrinja el acceso a las copias de seguridad del proyecto, ya que solo son accesibles para usuarios con permisos para crear proyectos.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33435 是 Weblate 软件中发现的一处远程代码执行漏洞,由于项目备份未过滤 Git 和 Mercurial 配置文件导致。
如果您正在使用 Weblate 5.0.0 到 5.16 版本,则可能受到此漏洞的影响。请立即升级至 5.17.0 或更高版本。
最有效的修复方法是升级至 Weblate 5.17.0 或更高版本。如果无法立即升级,请限制对项目备份功能的可访问性。
目前尚未公开发现针对此漏洞的公开利用程序,但由于其 RCE 的严重性,建议尽快采取缓解措施。
请访问 Weblate 的 GitHub 仓库,查找相关的 pull request 和安全公告:https://github.com/WeblateOrg/weblate/pull/18549
CVSS 向量
上传你的 requirements.txt 文件,立即知道是否受影响。