Weblate 资产 URL 验证漏洞总结 漏洞概述 Weblate 存在资产 URL 验证缺陷。系统允许从不受信任的源加载资产(如截图),但未充分验证重定向目标 URL,导致攻击者可通过构造恶意重定向链将资产加载到任意域名。 影响范围 影响截图上传功能 影响通过 API 获取远程资产的功能 影响 设置控制的资产加载行为 修复方案 1. 扩展 设置,使其适用于初始 URL 和所有 HTTP 重定向目标 2. 在 中新增 函数,递归验证重定向链中的所有 URL 3. 在 和 中使用新验证函数替代原有验证逻辑 4. 默认配置为 允许所有域名(需管理员明确配置限制) POC 代码