CVE-2026-45106
ŚrednieCVSS 4.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
Weblate to narzędzie do lokalizacji oparte na sieci. Przed wersją 2026.5, podgląd na żywo w Weblate renderował źródło jednostki i kontekst jako HTML bez odpowiedniego zabezpieczenia, co mogło prowadzić do wykonania niebezpiecznego kodu.
Ocena ryzyka
Każdy użytkownik, który wykonuje wyszukiwanie, może być narażony na wykonanie złośliwego kodu HTML i CSS, co stwarza ryzyko ataków XSS w obrębie edytora.
Rekomendacja
Zaleca się aktualizację do wersji 2026.5, aby usunąć tę podatność i zabezpieczyć środowisko przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
Weblate is a web based localization tool. Prior to version 2026.5, Weblate's live search preview renders unit source and context as HTML without escaping. Any contributor whose content reaches those fields stores HTML and CSS that runs inside the authenticated editor of every user who runs a matching search. This issue has been patched in version 2026.5.

