CVE-2026-34242 描述了 Weblate 0.0.0 到 5.17 版本中存在的任意文件访问漏洞。攻击者可以利用此漏洞通过 ZIP 下载功能跟踪到仓库外部的符号链接,从而访问未经授权的文件。该漏洞的严重程度评分为 CVSS 7.7 (高),建议用户尽快升级到 5.17.0 版本以修复此问题。
此漏洞允许攻击者通过 ZIP 下载功能访问 Weblate 仓库外部的文件。攻击者可以利用符号链接跟踪到服务器上的任何可访问文件,包括敏感配置、源代码或其他数据。攻击者可能能够读取、修改或删除这些文件,从而导致数据泄露、服务中断或系统控制权被盗。由于 Weblate 通常用于翻译管理,因此此漏洞可能导致翻译数据泄露或篡改,对软件国际化流程造成严重影响。此漏洞的潜在影响范围取决于 Weblate 仓库的配置和服务器的权限设置。
该漏洞由 @DavidCarliez 报告,并通过 GitHub 提交。目前尚未公开可用的 PoC,但该漏洞已添加到 CISA KEV 目录中,表明存在潜在的利用风险。建议密切关注安全社区的动态,以获取最新的利用信息。
Organizations using Weblate for translation management, particularly those hosting Weblate instances on shared hosting environments or with inadequate file system permissions, are at increased risk. Legacy Weblate deployments running older, unpatched versions are also particularly vulnerable.
• python / server:
find /opt/weblate/ -name '*.zip' -type f -print0 | xargs -0 grep -i '..\..' # Search for symlink patterns in downloaded ZIP files• generic web:
curl -I http://your-weblate-instance/download/your_repo.zip | grep 'Location:' # Check for unusual Location headers during downloaddisclosure
漏洞利用状态
EPSS
0.01% (3% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Weblate 升级到 5.17.0 版本或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 Weblate 仓库的访问权限,确保只有授权用户才能访问。审查 Weblate 仓库的配置,确保没有不必要的符号链接。使用 Web 应用防火墙 (WAF) 或反向代理来过滤对 ZIP 下载功能的请求,阻止跟踪到仓库外部的符号链接。监控 Weblate 服务器的日志,查找可疑活动。
Actualice Weblate a la versión 5.17 o superior para mitigar la vulnerabilidad. Esta versión corrige la falta de verificación de archivos descargados, evitando que se sigan enlaces simbólicos fuera del repositorio.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-34242 是 Weblate 0.0.0 到 5.17 版本中发现的任意文件访问漏洞,攻击者可以通过 ZIP 下载功能跟踪到仓库外部的符号链接,从而访问未经授权的文件。
如果您正在使用 Weblate 0.0.0 到 5.16 版本,则可能受到此漏洞的影响。请立即检查您的版本并升级。
最有效的修复方法是升级到 Weblate 5.17.0 或更高版本。
目前尚未确认 CVE-2026-34242 正在被积极利用,但已添加到 CISA KEV 目录中,表明存在潜在的利用风险。
请访问 Weblate GitHub 仓库的 pull request:https://github.com/WeblateOrg/weblate/pull/18683
上传你的 requirements.txt 文件,立即知道是否受影响。