Weblate审计日志IP泄露漏洞分析

漏洞详情

包信息

• 包管理器: pip
• 包名称: weblate

影响版本

• 受影响版本: < 5.14.1
• 已修复版本: 5.14.1

漏洞描述

概要

Weblate在审计日志中泄露了邀请用户加入项目的项目成员的IP地址。

详细说明

审计日志包含了由管理员触发的操作的IP地址，这些信息可能被受邀用户查看。

影响

邀请用户（管理员）的IP地址可能被泄露给受邀用户。

参考信息

• GHSA-gr35-vpx2-qxhc
• WeblateOrg/weblate#16781
• WeblateOrg/weblate@b847e97
• https://nvd.nist.gov/vuln/detail/CVE-2025-64326

安全评估

严重程度

• 等级: 低
• CVSS总体评分: 2.6/10

CVSS v3基础指标

• 攻击向量: 网络
• 攻击复杂度: 高
• 所需权限: 低
• 用户交互: 需要
• 范围: 未改变
• 机密性: 低
• 完整性: 无
• 可用性: 无

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:N/A:N

EPSS评分

• 分数: 0.027%
• 百分位: 6%

弱点分类

• 弱点: CWE-212
• 描述: 在存储或传输前未正确移除敏感信息
• 详情: 产品存储、传输或共享包含敏感信息的资源，但在使资源可供未经授权的参与者使用之前，未正确移除该信息。

标识信息

• CVE ID: CVE-2025-64326
• GHSA ID: GHSA-gr35-vpx2-qxhc
• 源代码: WeblateOrg/weblate

贡献者

• 报告者: jermanuts
• 修复开发者: nijel

时间线

• 发布到GitHub咨询数据库: 2025年11月5日
• 审核: 2025年11月5日
• 发布到国家漏洞数据库: 2025年11月6日
• 最后更新: 2025年11月6日