Weblate — это веб-инструмент локализации. В версиях до 5.17 API памяти переводов открывал непредусмотренные конечные точки, которые, в свою очередь, не обеспечивали должный контроль доступа. Эта проблема исправлена в версии 5.17.
Если разработчики не могут выполнить обновление немедленно, они могут отключить эту функцию, поскольку надстройка CDN не включена по умолчанию.
Показать оригинальное описание (EN)
Weblate is a web based localization tool. In versions prior to 5.17, the translation memory API exposed unintended endpoints, which in turn didn't perform proper access control. This issue has been fixed in version 5.17. If developers are unable to update immediately, they can disable this feature as the CDN add-on is not enabled by default.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1