一、 漏洞 CVE-2026-21889 基础信息
漏洞信息
# Weblate 截图泄露信息漏洞
## 概述
Weblate 是一个基于 Web 的本地化工具。在版本 5.15.2 之前,截图文件由 HTTP 服务器直接提供服务,缺乏适当的访问控制。
## 影响版本
5.15.2 之前的所有版本。
## 细节
截图文件存储后可通过直接 URL 访问,HTTP 服务器未验证请求者的身份。攻击者可通过猜测截图文件名,未经授权访问敏感截图内容。
## 影响
未经身份验证的用户可能通过暴力猜测文件名访问受限的截图信息,导致敏感数据泄露。该问题已在 5.15.2 版本中修复。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Weblate leaks information via screenshots
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Weblate is a web based localization tool. Prior to 5.15.2, the screenshot images were served directly by the HTTP server without proper access control. This could allow an unauthenticated user to access screenshots after guessing their filename. This vulnerability is fixed in 5.15.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
访问控制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Weblate 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Weblate是Weblate开源的一个 Copyleft 的基于 web 的自由软件持续本地化系统。 Weblate 5.15.2之前版本存在访问控制错误漏洞,该漏洞源于截图图像访问控制不当,可能导致未经验证的用户访问截图。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2026-21889 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2026-21889 的情报信息
标题: feat: proxy screenshot view by nijel · Pull Request #17516 · WeblateOrg/weblate · GitHub -- 🔗来源链接
标签:x_refsource_MISC
神龙速读:### 关键信息摘要 - **功能更新**:实现了受控访问的截图功能,通过引入代理来替代直接通过web服务器提供截图图片的方式,确保基于用户权限和项目可见性设定的访问控制限制能被正确应用到截图图片上。 - **关键变更**: - 创建了新的`ScreenshotView`,通过Django服务图片并进行适当的访问控制检查。 - 移除了`MEDIA_URL`配置,因为截图不再作为静态媒体提供。 - 更新了模板,使用新的视图URL代替直接的图片URL。 - **审查与合并**:Copilot审查了所有17个改动文件的此拉取请求并生成了2条评论。amCap1712随后批准了这些变更, reviewers Copilot,AliceVisek和amCap1712参与其中。nijel最终合并了此次改动。 - **测试与测试覆盖**:Codecov生成的报告显示,此次提交中存在1行代码没有被覆盖,项目整体覆盖率为91.75%。由于补丁覆盖率未能达到100%的目标,审核未通过。
标题: Information leak via screenshots · Advisory · WeblateOrg/weblate · GitHub -- 🔗来源链接
标签:x_refsource_CONFIRM
神龙速读:```md ## 关键信息摘要 - **漏洞类型**: 信息泄露通过截图 (Information leak via screenshots) - **CVE ID**: CVE-2026-21889 - **严重性**: 低 (Severity: Low, CVSS 2.3/10) - **受影响版本**: <5.15.2 (Affected versions: <5.15.2) - **已修复版本**: 5.15.2 (Patched versions: 5.15.2) - **CVE ID**: CVE-2026-21889 - **CVSS v4 基础评分**: 2.3/10 - **描述**: 截图图像直接通过HTTP服务器提供,缺乏适当的访问控制。这可能允许未认证的用户在猜测文件名后访问截图。 - **引用**:感谢Lukas May和Michael Leu报告此问题。 ```
标题: feat: proxy screenshot view · WeblateOrg/weblate@a6eb5fd · GitHub -- 🔗来源链接
标签:x_refsource_MISC
神龙速读:### 关键漏洞信息总结 #### 1. **主要变更内容** - **proxy screenshot view**功能: - 允许对图片应用访问控制限制。 #### 2. **代码更改** - **Django相关更改:** - `docs/admin/install.rst` - 注释说明了为测试目的使用Django内置Web服务器的静态文件服务。 - 提供了如何执行静态文件收集到指定目录的指令。 - 说明了用于服务Weblate和管理界面静态文件以及用户媒体上传的路径配置。 - 提到了`/favicon.ico`的重写规则建议。 - **配置文件更改:** - 去除了与`/media/`相关的配置,提示在升级时需调整HTTP服务器以去除`/media/`服务。 - 提示使用`:ref:`generic-upgrade-instructions`进行升级操作。 #### 3. **主要影响** - 各种HTTP服务器配置示例(如Apache、Nginx)中删除了对`/media/`路径的处理。 - 相关的Django视图和测试代码中增加了对访问控制的判断。 #### 4. **提示与建议** - 本次更新强调了对截图图片的安全访问控制。 - 从外部安全角度来看,关于图片的访问控制强化对防止信息泄漏有一定帮助。
- https://nvd.nist.gov/vuln/detail/CVE-2026-21889
四、漏洞 CVE-2026-21889 的评论
匿名用户
2026-01-15 06:08:09Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.