Weblate 泄露项目成员 IP 地址的审计日志漏洞

漏洞详情

包信息

• 包管理器: pip

• 包名称: weblate

影响版本

• 受影响版本: < 5.14.1

• 已修复版本: 5.14.1

漏洞描述

摘要

Weblate 在审计日志中泄露了邀请用户加入项目的项目成员的 IP 地址。

详细说明

审计日志包含了管理员触发操作的 IP 地址，这些信息可以被受邀用户查看。

影响

邀请用户（管理员）的 IP 地址可能被泄露给受邀用户。

参考信息

• GHSA-gr35-vpx2-qxhc

• WeblateOrg/weblate#16781

• WeblateOrg/weblate@b847e97

• https://nvd.nist.gov/vuln/detail/CVE-2025-64326

安全评分

CVSS 总体评分

2.6/10 - 低危

CVSS v3 基础指标

• 攻击向量: 网络

• 攻击复杂度: 高

• 所需权限: 低

• 用户交互: 需要

• 范围: 未改变

• 机密性: 低

• 完整性: 无

• 可用性: 无

EPSS 评分

0.027% (第 6 百分位)

弱点分类

CWE-212: 在存储或传输前未正确移除敏感信息

产品存储、传输或共享包含敏感信息的资源，但在向未经授权的参与者提供资源之前未能正确移除该信息。

标识符

• CVE ID: CVE-2025-64326

• GHSA ID: GHSA-gr35-vpx2-qxhc

源代码

WeblateOrg/weblate

致谢

• 报告者: jermanuts

• 修复开发者: nijel 更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享