الثغرات ›

CVE-2026-27457

متوسط

CWE-200 — نوع الضعف

                    نُشر: Feb 26, 2026                      ·  آخر تحديث: Mar 5, 2026                      ·  المصدر: NVD                

CVSS v3

4.3

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Weblate is a web based localization tool. Prior to version 5.16.1, the REST API's `AddonViewSet` (`weblate/api/views.py`, line 2831) uses `queryset = Addon.objects.all()` without overriding `get_queryset()` to scope results by user permissions. This allows any authenticated user (or anonymous users if `REQUIRE_LOGIN` is not set) to list and retrieve ALL addons across all projects and components via `GET /api/addons/` and `GET /api/addons/{id}/`. Version 5.16.1 fixes the issue.

🤖 ملخص AI

Weblate REST API prior to version 5.16.1 exposes all addons across projects without proper permission checks, allowing any authenticated user to enumerate and access addon information. The vulnerability affects the AddonViewSet which fails to implement proper queryset filtering based on user permissions.

📄 الوصف (العربية)

تحتوي واجهة REST API في Weblate على ثغرة في AddonViewSet حيث لا يتم تطبيق فحوصات الأذونات بشكل صحيح. يسمح هذا لأي مستخدم مصرح به بالوصول إلى قائمة كاملة بجميع الإضافات عبر جميع المشاريع والمكونات. تم إصلاح المشكلة في الإصدار 5.16.1.

🤖 ملخص تنفيذي (AI)

🤖 التحليل الذكي آخر تحليل: May 30, 2026 07:26

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government telecom

🎯 تقنيات MITRE ATT&CK

T1526 T1087

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Weblate to version 5.16.1 or later immediately. Implement network-level access controls to restrict API endpoint access. Enable REQUIRE_LOGIN setting to prevent anonymous access. Review and audit all addon access logs for unauthorized enumeration.

🔧 خطوات المعالجة (العربية)

قم بترقية Weblate إلى الإصدار 5.16.1 أو أحدث فوراً. طبق عناصر تحكم في الوصول على مستوى الشبكة لتقييد الوصول إلى نقاط نهاية API. فعّل إعداد REQUIRE_LOGIN لمنع الوصول المجهول. راجع وتدقيق جميع سجلات الوصول إلى الإضافات للتحقق من الوصول غير المصرح به.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.9.1.1 A.9.2.1

🔵 SAMA CSF

AC-2 AC-3

🟡 ISO 27001:2022

A.6.1.2 A.9.1.1 A.9.2.1

🔗 المراجع والمصادر 6

🔗

https://github.com/WeblateOrg/weblate/commit/3f58f9a4152bc0cbdd6eff5954f9c7bc4d9f0af9

security-advisories@github.com

Patch

🔗

https://github.com/WeblateOrg/weblate/commit/7802c9b121eb407c48d4adddd4f2458fb3efef0f

security-advisories@github.com

Patch

🔗

https://github.com/WeblateOrg/weblate/pull/18107

security-advisories@github.com

Issue Tracking Patch

🔗

https://github.com/WeblateOrg/weblate/pull/18164

security-advisories@github.com

Issue Tracking Patch

🔗

https://github.com/WeblateOrg/weblate/releases/tag/weblate-5.16.1

security-advisories@github.com

Product Release Notes

🔗

https://github.com/WeblateOrg/weblate/security/advisories/GHSA-wppc-7cq7-cgfv

security-advisories@github.com

Patch Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

weblate:weblate

📊 CVSS Score

4.3

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score4.3

CWECWE-200

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-02-26

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

patch-available CWE-200

🏢 توجيهات البائع

🔗 https://github.com/WeblateOrg/weblate/security/advis...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-27457

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب