Weblate泄露项目成员IP地址的审计日志漏洞
漏洞详情
包信息
- 包管理器: pip
- 包名称: weblate
影响版本
- 受影响版本: < 5.14.1
- 已修复版本: 5.14.1
漏洞描述
摘要
Weblate在审计日志中泄露了邀请用户加入项目的项目成员的IP地址。
详细说明
审计日志包含了管理员触发操作的IP地址,这些信息可以被受邀用户查看。
影响
邀请用户(管理员)的IP地址可能被泄露给受邀用户。
参考信息
- GHSA-gr35-vpx2-qxhc
- WeblateOrg/weblate#16781
- WeblateOrg/weblate@b847e97
- nvd.nist.gov/vuln/detail…
安全评分
CVSS总体评分
2.6/10 - 低危
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 高
- 所需权限: 低
- 用户交互: 需要
- 范围: 未改变
- 机密性: 低
- 完整性: 无
- 可用性: 无
EPSS评分
0.027% (第6百分位)
弱点分类
CWE-212: 在存储或传输前未正确移除敏感信息
产品存储、传输或共享包含敏感信息的资源,但在向未经授权的参与者提供资源之前未能正确移除该信息。
标识符
- CVE ID: CVE-2025-64326
- GHSA ID: GHSA-gr35-vpx2-qxhc
源代码
WeblateOrg/weblate
致谢
- 报告者: jermanuts
- 修复开发者: nijel
