Weblate is a web based localization tool. Prior to version 5.17.1, an authenticated user with project.add permission (default on hosted Weblate SaaS and for any user holding an active billing/trial plan) can import a crafted project backup ZIP whose components/<name>.json contains an attacker-chosen repo URL pointing at a private address (e.g. http://127.0.0.1:9999/) or using a non-allow-listed scheme (e.g. file://, git://). Weblate persists the component via Component.objects.bulk_create([component])[0], which bypasses Django's full_clean() and therefore never runs the validate_repo_url validator. The URL is subsequently written verbatim into .git/config by configure_repo(pull=False). This issue has been patched in version 5.17.1.
Weblate versions prior to 5.17.1 allow authenticated users with project.add permissions to bypass URL validation by importing crafted project backups containing malicious repository URLs. This vulnerability enables attackers to configure repositories pointing to private addresses or using non-whitelisted schemes, potentially leading to unauthorized access or code execution.
تحتوي Weblate على ثغرة في التحقق من صحة عنوان URL تسمح للمستخدمين المصرح لهم بتجاوز التحقق من الصحة من خلال استيراد نسخ احتياطية مصممة بشكل ضار. يحدث هذا لأن الدالة bulk_create تتجاوز Django's full_clean() والتحقق من صحة validate_repo_url. يمكن للمهاجمين استخدام هذا لتوجيه المستودعات إلى عناوين خاصة أو استخدام أنظمة غير مسموحة مثل file:// أو git://.
إصدارات Weblate السابقة للإصدار 5.17.1 تسمح للمستخدمين المصرح لهم بصلاحيات project.add بتجاوز التحقق من صحة عناوين URL بواسطة استيراد نسخ احتياطية من المشاريع المصممة بشكل ضار. تتيح هذه الثغرة للمهاجمين تكوين مستودعات تشير إلى عناوين خاصة أو استخدام أنظمة غير مدرجة في القائمة البيضاء.
Upgrade Weblate to version 5.17.1 or later immediately. Restrict project.add permissions to trusted users only. Implement network segmentation to prevent access to private addresses from Weblate instances. Monitor and audit project imports for suspicious repository URLs.
قم بترقية Weblate إلى الإصدار 5.17.1 أو أحدث على الفور. قيد صلاحيات project.add للمستخدمين الموثوقين فقط. طبق تقسيم الشبكة لمنع الوصول إلى العناوين الخاصة من مثيلات Weblate. راقب وتدقيق استيراد المشاريع للعثور على عناوين مستودع مريبة.