Vulnerabilidad en Weblate (CVE-2025-32021)

Gravedad CVSS v3.1:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

15/04/2025

Última modificación:

30/04/2025

Descripción

Weblate es una herramienta de localización web. Antes de la versión 5.11, al crear un nuevo componente a partir de uno existente con la URL del repositorio de código fuente especificada en la configuración, esta URL se incluía en los parámetros de URL del cliente durante el proceso de creación. Si, por ejemplo, la URL del repositorio de código fuente contiene credenciales de GitHub, el PAT confidencial y el nombre de usuario se muestran en texto plano y se guardan en el historial del navegador. Además, si se registra la URL de la solicitud, las credenciales se escriben en los registros en texto plano. Si se utiliza la imagen oficial de Docker de Weblate, nginx registra la URL y el token en texto plano. Este problema se solucionó en la versión 5.11.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 2.20 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno