https://blog.qife122.com/tags/weblate/ Recent content in Weblate on 办公AI智能小助手 Hugo zh-cn qife Fri, 09 Jan 2026 23:05:44 +0800 https://blog.qife122.com/p/web%E6%9C%AC%E5%9C%B0%E5%8C%96%E5%B9%B3%E5%8F%B0weblate%E6%9B%9Dssrf%E6%BC%8F%E6%B4%9E%E5%8F%AF%E8%87%B4%E5%86%85%E9%83%A8%E7%BD%91%E7%BB%9C%E4%B8%8E%E6%9C%8D%E5%8A%A1%E6%9A%B4%E9%9C%B2/ Fri, 09 Jan 2026 23:05:44 +0800 https://blog.qife122.com/p/web%E6%9C%AC%E5%9C%B0%E5%8C%96%E5%B9%B3%E5%8F%B0weblate%E6%9B%9Dssrf%E6%BC%8F%E6%B4%9E%E5%8F%AF%E8%87%B4%E5%86%85%E9%83%A8%E7%BD%91%E7%BB%9C%E4%B8%8E%E6%9C%8D%E5%8A%A1%E6%9A%B4%E9%9C%B2/ <h2 id="cve-2025-66407weblateorg-weblate-中的跨站请求伪造cwe-352">CVE-2025-66407：WeblateOrg weblate 中的跨站请求伪造（CWE-352）</h2> <p><strong>严重性：中</strong> <strong>类型：漏洞</strong></p> <p><strong>CVE-2025-66407</strong></p> <p>CVE-2025-66407 是 Weblate 5.15 之前版本中存在的一个中危漏洞，允许经过身份验证的用户通过“创建组件”功能中的 Mercurial 后端，利用服务器端请求伪造（SSRF）。此缺陷源于仓库 URL 字段未得到适当验证或清理，使得攻击者能够指定任意协议、主机名、IP 地址（包括 localhost 和内部网络地址）以及本地文件路径。该漏洞可能暴露内部 HTTP 端点，并通过错误消息泄露服务器文件系统信息。这在云环境中尤其危险，因为可能访问到元数据服务，从而存在凭证泄露和环境被入侵的风险。Git 后端不受影响，因为它会阻止文件协议，并且不会在错误中暴露 HTTP 响应内容。缓解措施包括升级到 Weblate 5.15 或更高版本，或者从 VCS_BACKENDS 配置中移除 Mercurial。目前尚未公开已知的利用程序。</p> https://blog.qife122.com/p/%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E9%A2%84%E8%AD%A6weblate%E5%9B%A0%E8%BE%93%E5%85%A5%E9%AA%8C%E8%AF%81%E4%B8%8D%E5%BD%93%E5%8F%AF%E8%83%BD%E5%AF%BC%E8%87%B4git%E9%85%8D%E7%BD%AE%E8%A2%AB%E8%BF%9C%E7%A8%8B%E7%AF%A1%E6%94%B9/ Mon, 29 Dec 2025 06:39:51 +0800 https://blog.qife122.com/p/%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E9%A2%84%E8%AD%A6weblate%E5%9B%A0%E8%BE%93%E5%85%A5%E9%AA%8C%E8%AF%81%E4%B8%8D%E5%BD%93%E5%8F%AF%E8%83%BD%E5%AF%BC%E8%87%B4git%E9%85%8D%E7%BD%AE%E8%A2%AB%E8%BF%9C%E7%A8%8B%E7%AF%A1%E6%94%B9/ <h1 id="cve-2025-68398-cwe-20-weblateorg-weblate-中的输入验证不当漏洞">CVE-2025-68398: CWE-20: WeblateOrg weblate 中的输入验证不当漏洞</h1> <p><strong>严重等级：</strong> 严重 <strong>类型：</strong> 漏洞 <strong>CVE编号：</strong> CVE-2025-68398</p> <p>Weblate 是一个基于网页的本地化工具。在 5.15.1 之前的版本中，存在可能远程覆盖 Git 配置并覆盖其某些行为的问题。版本 5.15.1 修复了此问题。</p> https://blog.qife122.com/p/weblate%E5%AE%A1%E8%AE%A1%E6%97%A5%E5%BF%97ip%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Wed, 19 Nov 2025 14:52:15 +0800 https://blog.qife122.com/p/weblate%E5%AE%A1%E8%AE%A1%E6%97%A5%E5%BF%97ip%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="weblate审计日志ip泄露漏洞分析">Weblate审计日志IP泄露漏洞分析</h1> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="包信息">包信息</h3> <ul> <li><strong>包管理器</strong>: pip</li> <li><strong>包名称</strong>: weblate</li> </ul> <h3 id="受影响版本">受影响版本</h3> <ul> <li>&lt; 5.14.1</li> </ul> <h3 id="已修复版本">已修复版本</h3> <ul> <li>5.14.1</li> </ul> <h2 id="漏洞描述">漏洞描述</h2> <h3 id="概要">概要</h3> <p>Weblate在审计日志中泄露了邀请用户加入项目的项目成员的IP地址。</p> <h3 id="详细说明">详细说明</h3> <p>审计日志包含了管理员触发操作的IP地址，这些信息可能被受邀用户查看。</p> https://blog.qife122.com/p/weblate%E5%AE%A1%E8%AE%A1%E6%97%A5%E5%BF%97ip%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Wed, 12 Nov 2025 22:04:20 +0800 https://blog.qife122.com/p/weblate%E5%AE%A1%E8%AE%A1%E6%97%A5%E5%BF%97ip%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="weblate审计日志ip泄露漏洞分析">Weblate审计日志IP泄露漏洞分析</h1> <h2 id="漏洞详情">漏洞详情</h2> <h3 id="包信息">包信息</h3> <ul> <li><strong>包管理器</strong>: pip</li> <li><strong>包名称</strong>: weblate</li> </ul> <h3 id="影响版本">影响版本</h3> <ul> <li>受影响版本: &lt; 5.14.1</li> <li>已修复版本: 5.14.1</li> </ul> <h2 id="漏洞描述">漏洞描述</h2> <h3 id="概要">概要</h3> <p>Weblate在审计日志中泄露了邀请用户加入项目的项目成员的IP地址。</p> <h3 id="详细说明">详细说明</h3> <p>审计日志包含了由管理员触发的操作的IP地址，这些信息可能被受邀用户查看。</p>