CVE-2025-66407:WeblateOrg weblate 中的跨站请求伪造(CWE-352)
严重性:中 类型:漏洞
CVE-2025-66407
CVE-2025-66407 是 Weblate 5.15 之前版本中存在的一个中危漏洞,允许经过身份验证的用户通过“创建组件”功能中的 Mercurial 后端,利用服务器端请求伪造(SSRF)。此缺陷源于仓库 URL 字段未得到适当验证或清理,使得攻击者能够指定任意协议、主机名、IP 地址(包括 localhost 和内部网络地址)以及本地文件路径。该漏洞可能暴露内部 HTTP 端点,并通过错误消息泄露服务器文件系统信息。这在云环境中尤其危险,因为可能访问到元数据服务,从而存在凭证泄露和环境被入侵的风险。Git 后端不受影响,因为它会阻止文件协议,并且不会在错误中暴露 HTTP 响应内容。缓解措施包括升级到 Weblate 5.15 或更高版本,或者从 VCS_BACKENDS 配置中移除 Mercurial。目前尚未公开已知的利用程序。
AI 分析
技术总结
Weblate 是一个基于 Web 的本地化平台,支持多种版本控制系统(VCS)来管理翻译组件。在 5.15 之前的版本中,“创建组件”功能允许授权用户通过指定仓库 URL 和 VCS 类型来添加新的翻译组件。当选择 Mercurial 作为 VCS 时,应用程序未能验证或清理仓库 URL 输入,允许攻击者提供具有各种协议(包括 HTTP、文件等)的任意 URL。这种缺乏验证的情况使得服务器端请求伪造(SSRF)成为可能,即 Weblate 服务器向攻击者控制或内部网络资源发出 HTTP 请求,并将完整的 HTTP 响应内容返回给用户。此外,通过 file:// URL 尝试访问本地文件,可以通过不同的错误消息揭示服务器上文件的存在与否,从而有效地实现本地文件枚举。在云部署中,可以利用此 SSRF 访问敏感的内部端点,例如通常包含凭证和令牌的云元数据服务,可能导致整个环境被入侵。该漏洞被归类为 CWE-352(跨站请求伪造),但核心问题是未经清理的 URL 输入导致的 SSRF。Git 后端不受影响,因为它会阻止文件协议 URL,并且不会在错误消息中暴露 HTTP 响应内容。该问题在 Weblate 5.15 中通过对仓库 URL 实施适当的验证和清理得以解决。作为临时解决方案,管理员可以从 VCS_BACKENDS 配置中移除 Mercurial 以防止利用。CVSS v3.1 得分为 5.0(中危),反映了网络攻击向量、低复杂性、需要权限但无需用户交互、对机密性影响有限且对完整性和可用性无影响。目前尚未有已知的野外利用报告。
潜在影响
对于使用 Weblate 5.15 之前版本的欧洲组织,此漏洞构成重大风险,特别是对于那些在云环境中部署 Weblate 或拥有敏感内部网络资源的组织。拥有授权访问权限的攻击者可以利用 SSRF 探测内部服务,可能访问内部 API、云元数据端点或其他未对外暴露的敏感基础设施组件。这可能导致凭证泄露、未经授权访问内部系统,并可能完全入侵托管环境。枚举本地文件的能力还可以帮助攻击者绘制服务器文件系统图,促进进一步的针对性攻击。依赖 Mercurial 作为其 VCS 后端的组织尤其脆弱,而使用 Git 的组织则不受影响。中危评级表明风险中等,但访问云元数据服务的可能性在云托管部署中提升了威胁级别。此漏洞可能会中断本地化工作流程,并损害内部资源的机密性,如果敏感数据暴露,还可能影响对 GDPR 等数据保护法规的合规性。
缓解建议
欧洲组织应优先将 Weblate 升级到 5.15 或更高版本,在该版本中,通过适当的输入验证和清理已完全解决了此漏洞。如果无法立即升级,管理员应从 VCS_BACKENDS 配置中移除 Mercurial 以禁用易受攻击的后端,从而有效缓解 SSRF 风险。此外,组织应审核并限制对 Weblate 管理界面的访问,仅限受信任的用户,以最小化被未经授权行为者利用的风险。应实施网络分段和防火墙规则,以限制 Weblate 服务器访问内部服务和云元数据端点的能力。监控和记录 Weblate 服务器请求有助于检测可疑的 SSRF 尝试。最后,组织应审查其云环境的元数据服务访问策略,例如在 AWS 中启用元数据服务版本 2(IMDSv2),以降低通过 SSRF 暴露凭证的风险。
受影响国家
德国、法国、英国、荷兰、瑞典、芬兰、比利时、意大利、西班牙
CVE-2025-66407:CWE-352:WeblateOrg weblate 中的跨站请求伪造(CSRF)
严重性:中 类型:漏洞 CVE:CVE-2025-66407
CVE-2025-66407 是 Weblate 5.15 之前版本中存在的一个中危漏洞,允许经过身份验证的用户通过“创建组件”功能中的 Mercurial 后端,利用服务器端请求伪造(SSRF)。此缺陷源于仓库 URL 字段未得到适当验证或清理,使得攻击者能够指定任意协议、主机名、IP 地址(包括 localhost 和内部网络地址)以及本地文件路径。该漏洞可能暴露内部 HTTP 端点,并通过错误消息泄露服务器文件系统信息。这在云环境中尤其危险,因为可能访问到元数据服务,从而存在凭证泄露和环境被入侵的风险。Git 后端不受影响,因为它会阻止文件协议,并且不会在错误中暴露 HTTP 响应内容。缓解措施包括升级到 Weblate 5.15 或更高版本,或者从 VCS_BACKENDS 配置中移除 Mercurial。目前尚未公开已知的利用程序。
技术总结
Weblate 是一个基于 Web 的本地化平台,支持多种版本控制系统(VCS)来管理翻译组件。在 5.15 之前的版本中,“创建组件”功能允许授权用户通过指定仓库 URL 和 VCS 类型来添加新的翻译组件。当选择 Mercurial 作为 VCS 时,应用程序未能验证或清理仓库 URL 输入,允许攻击者提供具有各种协议(包括 HTTP、文件等)的任意 URL。这种缺乏验证的情况使得服务器端请求伪造(SSRF)成为可能,即 Weblate 服务器向攻击者控制或内部网络资源发出 HTTP 请求,并将完整的 HTTP 响应内容返回给用户。此外,通过 file:// URL 尝试访问本地文件,可以通过不同的错误消息揭示服务器上文件的存在与否,从而有效地实现本地文件枚举。在云部署中,可以利用此 SSRF 访问敏感的内部端点,例如通常包含凭证和令牌的云元数据服务,可能导致整个环境被入侵。该漏洞被归类为 CWE-352(跨站请求伪造),但核心问题是未经清理的 URL 输入导致的 SSRF。Git 后端不受影响,因为它会阻止文件协议 URL,并且不会在错误消息中暴露 HTTP 响应内容。该问题在 Weblate 5.15 中通过对仓库 URL 实施适当的验证和清理得以解决。作为临时解决方案,管理员可以从 VCS_BACKENDS 配置中移除 Mercurial 以防止利用。CVSS v3.1 得分为 5.0(中危),反映了网络攻击向量、低复杂性、需要权限但无需用户交互、对机密性影响有限且对完整性和可用性无影响。目前尚未有已知的野外利用报告。
潜在影响
对于使用 Weblate 5.15 之前版本的欧洲组织,此漏洞构成重大风险,特别是对于那些在云环境中部署 Weblate 或拥有敏感内部网络资源的组织。拥有授权访问权限的攻击者可以利用 SSRF 探测内部服务,可能访问内部 API、云元数据端点或其他未对外暴露的敏感基础设施组件。这可能导致凭证泄露、未经授权访问内部系统,并可能完全入侵托管环境。枚举本地文件的能力还可以帮助攻击者绘制服务器文件系统图,促进进一步的针对性攻击。依赖 Mercurial 作为其 VCS 后端的组织尤其脆弱,而使用 Git 的组织则不受影响。中危评级表明风险中等,但访问云元数据服务的可能性在云托管部署中提升了威胁级别。此漏洞可能会中断本地化工作流程,并损害内部资源的机密性,如果敏感数据暴露,还可能影响对 GDPR 等数据保护法规的合规性。
缓解建议
欧洲组织应优先将 Weblate 升级到 5.15 或更高版本,在该版本中,通过适当的输入验证和清理已完全解决了此漏洞。如果无法立即升级,管理员应从 VCS_BACKENDS 配置中移除 Mercurial 以禁用易受攻击的后端,从而有效缓解 SSRF 风险。此外,组织应审核并限制对 Weblate 管理界面的访问,仅限受信任的用户,以最小化被未经授权行为者利用的风险。应实施网络分段和防火墙规则,以限制 Weblate 服务器访问内部服务和云元数据端点的能力。监控和记录 Weblate 服务器请求有助于检测可疑的 SSRF 尝试。最后,组织应审查其云环境的元数据服务访问策略,例如在 AWS 中启用元数据服务版本 2(IMDSv2),以降低通过 SSRF 暴露凭证的风险。
受影响国家
德国、法国、英国、荷兰、瑞典、芬兰、比利时、意大利、西班牙
来源: CVE 数据库 V5 发布时间: 2025年12月15日,星期一
CVE-2025-66407:CWE-352:WeblateOrg weblate 中的跨站请求伪造(CSRF)
▲0 ▼ 星标 中危 漏洞 CVE-2025-66407 cve cve-2025-66407 cwe-352 发布时间: 2025年12月15日,星期一 (2025年12月15日,23:36:25 UTC) 来源: CVE 数据库 V5 供应商/项目: WeblateOrg 产品: weblate
描述
CVE-2025-66407 是 Weblate 5.15 之前版本中存在的一个中危漏洞,允许经过身份验证的用户通过“创建组件”功能中的 Mercurial 后端,利用服务器端请求伪造(SSRF)。此缺陷源于仓库 URL 字段未得到适当验证或清理,使得攻击者能够指定任意协议、主机名、IP 地址(包括 localhost 和内部网络地址)以及本地文件路径。该漏洞可能暴露内部 HTTP 端点,并通过错误消息泄露服务器文件系统信息。这在云环境中尤其危险,因为可能访问到元数据服务,从而存在凭证泄露和环境被入侵的风险。Git 后端不受影响,因为它会阻止文件协议,并且不会在错误中暴露 HTTP 响应内容。缓解措施包括升级到 Weblate 5.15 或更高版本,或者从 VCS_BACKENDS 配置中移除 Mercurial。目前尚未公开已知的利用程序。
AI 驱动分析
AI 最后更新: 2025年12月16日,00:02:55 UTC
技术分析
Weblate 是一个基于 Web 的本地化平台,支持多种版本控制系统(VCS)来管理翻译组件。在 5.15 之前的版本中,“创建组件”功能允许授权用户通过指定仓库 URL 和 VCS 类型来添加新的翻译组件。当选择 Mercurial 作为 VCS 时,应用程序未能验证或清理仓库 URL 输入,允许攻击者提供具有各种协议(包括 HTTP、文件等)的任意 URL。这种缺乏验证的情况使得服务器端请求伪造(SSRF)成为可能,即 Weblate 服务器向攻击者控制或内部网络资源发出 HTTP 请求,并将完整的 HTTP 响应内容返回给用户。此外,通过 file:// URL 尝试访问本地文件,可以通过不同的错误消息揭示服务器上文件的存在与否,从而有效地实现本地文件枚举。在云部署中,可以利用此 SSRF 访问敏感的内部端点,例如通常包含凭证和令牌的云元数据服务,可能导致整个环境被入侵。该漏洞被归类为 CWE-352(跨站请求伪造),但核心问题是未经清理的 URL 输入导致的 SSRF。Git 后端不受影响,因为它会阻止文件协议 URL,并且不会在错误消息中暴露 HTTP 响应内容。该问题在 Weblate 5.15 中通过对仓库 URL 实施适当的验证和清理得以解决。作为临时解决方案,管理员可以从 VCS_BACKENDS 配置中移除 Mercurial 以防止利用。CVSS v3.1 得分为 5.0(中危),反映了网络攻击向量、低复杂性、需要权限但无需用户交互、对机密性影响有限且对完整性和可用性无影响。目前尚未有已知的野外利用报告。
潜在影响
对于使用 Weblate 5.15 之前版本的欧洲组织,此漏洞构成重大风险,特别是对于那些在云环境中部署 Weblate 或拥有敏感内部网络资源的组织。拥有授权访问权限的攻击者可以利用 SSRF 探测内部服务,可能访问内部 API、云元数据端点或其他未对外暴露的敏感基础设施组件。这可能导致凭证泄露、未经授权访问内部系统,并可能完全入侵托管环境。枚举本地文件的能力还可以帮助攻击者绘制服务器文件系统图,促进进一步的针对性攻击。依赖 Mercurial 作为其 VCS 后端的组织尤其脆弱,而使用 Git 的组织则不受影响。中危评级表明风险中等,但访问云元数据服务的可能性在云托管部署中提升了威胁级别。此漏洞可能会中断本地化工作流程,并损害内部资源的机密性,如果敏感数据暴露,还可能影响对 GDPR 等数据保护法规的合规性。
缓解建议
欧洲组织应优先将 Weblate 升级到 5.15 或更高版本,在该版本中,通过适当的输入验证和清理已完全解决了此漏洞。如果无法立即升级,管理员应从 VCS_BACKENDS 配置中移除 Mercurial 以禁用易受攻击的后端,从而有效缓解 SSRF 风险。此外,组织应审核并限制对 Weblate 管理界面的访问,仅限受信任的用户,以最小化被未经授权行为者利用的风险。应实施网络分段和防火墙规则,以限制 Weblate 服务器访问内部服务和云元数据端点的能力。监控和记录 Weblate 服务器请求有助于检测可疑的 SSRF 尝试。最后,组织应审查其云环境的元数据服务访问策略,例如在 AWS 中启用元数据服务版本 2(IMDSv2),以降低通过 SSRF 暴露凭证的风险。
受影响国家
德国、法国、英国、荷兰、瑞典、芬兰、比利时、意大利、西班牙
需要更详细的分析? 获取专业版
专业功能 如需访问高级分析和更高的速率限制,请联系 root@offseq.com
技术细节
数据版本:5.2 分配者短名称:GitHub_M 日期保留:2025-11-28T23:33:56.365Z Cvss 版本:3.1 状态:已发布 威胁 ID:69409d9cd9bcdf3f3d09c710 添加到数据库:2025年12月15日,晚上11:45:32 最后丰富:2025年12月16日,上午12:02:55 最后更新:2025年12月16日,上午3:44:22 查看次数:3
社区评论 0 条评论 众包缓解策略、分享情报背景,并对最有帮助的回复进行投票。登录以添加您的声音,帮助防御者保持领先。
排序方式:热门 最新 最旧 写评论
社区提示 ▼ 正在加载社区见解…
想要贡献缓解步骤或威胁情报背景?登录或创建帐户以加入社区讨论。
相关威胁
CVE-2025-14749:Ningyuanda TC155 中的不当访问控制 中危 漏洞 2025年12月16日,星期二
CVE-2025-14748:Ningyuanda TC155 中的不当访问控制 中危 漏洞 2025年12月16日,星期二
CVE-2025-62849:QNAP Systems Inc. QTS 中的 CWE-89 中危 漏洞 2025年12月16日,星期二
CVE-2025-62848:QNAP Systems Inc. QTS 中的 CWE-476 高危 漏洞 2025年12月16日,星期二
CVE-2025-62847:QNAP Systems Inc. QTS 中的 CWE-88 中危 漏洞 2025年12月16日,星期二
操作 更新 AI 分析 专业版 更新 AI 分析需要专业版控制台访问权限。在控制台 → 账单中升级。
请登录控制台以使用 AI 分析功能。
分享 外部链接 NVD 数据库 MITRE CVE 参考 1 参考 2 参考 3 在 Google 上搜索
需要增强功能? 请联系 root@offseq.com 获取具有改进分析和更高速率限制的专业版访问权限。
最新威胁 为需要洞察未来重要事件的安全团队提供实时情报。
SEQ SIA 注册号 40203410806 Lastadijas 12 k-3, Riga, Latvia, LV-1050 价格包含增值税 (21%) 支持:radar@offseq.com +371 2256 5353 平台 仪表板 威胁 威胁地图 订阅源 API 文档 帐户控制台 支持 OffSeq.com 职业 服务 联系我们 周一至周五,09:00–18:00 (EET) 3个工作日内回复 政策与支付 §条款与条件↗ 交付条款↺ 退货与退款🔒 隐私政策 接受的支付方式 信用卡支付由 EveryPay 安全处理。 Twitter Mastodon GitHub Bluesky LinkedIn 键盘快捷键
导航 转到首页 g h 转到威胁 g t 转到地图 g m 转到订阅源 g f 转到控制台 g c 搜索与筛选 聚焦搜索/切换筛选器 / 选择“所有时间”筛选器 a 清除所有筛选器 c l 刷新数据 r UI 控制 切换深色/浅色主题 t 显示键盘快捷键 ? 清除焦点/关闭模态框 Escape 辅助功能 导航到下一个项目 j 导航到上一个项目 k 激活选定项目 Enter 提示: 随时按 ? 可切换此帮助面板。g h 等多键快捷键应按顺序按下。