CVE-2026-27457

Nome do Software Vulnerável e Versões Afetadas Versões do Weblate anteriores a 5.16.1

Descrição A API REST do Weblate AddonViewSet em weblate/api/views.py (linha 2831) não restringia adequadamente o acesso às informações dos addons com base nas permissões do usuário. Especificamente, a atribuição queryset = Addon.objects.all() dentro do viewset permitia que qualquer usuário autenticado, ou até mesmo usuários anônimos se REQUIRE LOGIN não estivesse ativado, listassem todos os addons em todos os projetos e componentes usando os endpoints da API GET /api/addons/ e GET /api/addons/{id}/. Isso permitiu acesso não autorizado às configurações dos addons.

Recomendações Atualize para a versão 5.16.1 ou posterior do Weblate.