CVE-2025-32021

Nome do Software Vulnerável e Versões Afetadas Versões do Weblate anteriores à 5.11

Descrição O problema diz respeito a uma ferramenta de localização baseada na web onde credenciais confidenciais, como Tokens de Acesso Pessoal do GitHub (PAT) e nomes de usuário, são expostas em texto simples ao criar um novo componente a partir de um existente com uma URL de repositório de código fonte especificada. Essas credenciais podem ser salvas no histórico do navegador e registradas em texto simples nos logs caso a URL da solicitação seja registrada, representando um risco significativo à segurança. Isso é particularmente preocupante ao usar a imagem Docker oficial, pois o nginx registra a URL e o token em texto simples nos logs.

Recomendações Para versões anteriores à 5.11, atualize para a versão 5.11 para resolver o problema. Como solução temporária, considere evitar a criação de novos componentes a partir de existentes com URLs de repositório de código fonte contendo credenciais sensíveis até que a atualização seja aplicada. Restrinja o acesso aos logs e ao histórico do navegador para minimizar o risco de exposição de credenciais.