Weblate泄露项目成员IP地址的审计日志漏洞
漏洞详情
包信息
- 包管理器: pip
- 包名称: weblate
影响版本
- 受影响版本: < 5.14.1
- 已修复版本: 5.14.1
漏洞描述
摘要
Weblate在审计日志中泄露了邀请用户加入项目的项目成员的IP地址。
详细说明
审计日志包含了管理员触发操作的IP地址,这些信息可以被受邀用户查看。
影响
邀请用户(管理员)的IP地址可能被泄露给受邀用户。
参考信息
- GHSA-gr35-vpx2-qxhc
- WeblateOrg/weblate#16781
- WeblateOrg/weblate@b847e97
- https://nvd.nist.gov/vuln/detail/CVE-2025-64326
安全评分
CVSS总体评分
2.6/10 - 低危
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 高
- 所需权限: 低
- 用户交互: 需要
- 范围: 未改变
- 机密性: 低
- 完整性: 无
- 可用性: 无
EPSS评分
0.027% (第6百分位)
弱点分类
CWE-212: 在存储或传输前未正确移除敏感信息
产品存储、传输或共享包含敏感信息的资源,但在向未经授权的参与者提供资源之前未能正确移除该信息。
标识符
- CVE ID: CVE-2025-64326
- GHSA ID: GHSA-gr35-vpx2-qxhc
源代码
WeblateOrg/weblate
致谢
- 报告者: jermanuts
- 修复开发者: nijel
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
