Weblate API 访问控制漏洞总结 漏洞概述 Weblate 存在一个 API 访问控制漏洞,允许未授权用户访问待处理任务的元数据。该漏洞涉及在发布时存储任务元数据,并在 API 访问控制中未正确验证权限。 影响范围 影响 Weblate 的 API 端点 涉及任务元数据的访问控制 影响范围包括: - API 视图层 ( ) - 组件模型层 ( ) - Celery 任务处理 ( ) 修复方案 1. API 视图层修复 ( ): - 添加任务元数据获取逻辑 - 实现权限检查机制 - 对 pending 状态的任务进行特殊处理 2. 组件模型层修复 ( ): - 添加任务元数据存储功能 - 实现后台任务队列管理 - 完善任务状态跟踪 3. Celery 任务处理修复 ( ): - 添加任务元数据导入 - 实现任务进度跟踪 - 完善错误处理机制 关键代码变更 API 视图层关键代码 组件模型层关键代码 Celery 任务处理关键代码 测试用例