Weblate dreigingsmodel¶
Project Weblate
Laatst beoordeeld voor Weblate 2026.7 in commit 491e79010b2.
Datum: 14-05-2026.
Status: Geaccepteerd, 14-05-2026.
Versiebinding: Dit model is geversioneerd met uitgaven van Weblate. Een rapport voor Weblate versie N is getriageerd tegen het model dat is gepubliceerd voor versie N, niet tegen dat van de laatste ontwikkelbranch. (maintainer)
Rapporteren van kruisverwijzing: Rapporten die een eigenschap schenden die Weblate claimt in Security properties Weblate provides worden gerapporteerd met SECURITY.md en Kwetsbaarheid en incidentafhandeling. Rapporten die vallen onder Out of scope of Security properties Weblate does not provide kunnen worden gesloten door dit document aan te halen, tenzij dit model ze routeert naar VALID-HARDENING. (documented) (source: Kwetsbaarheid en incidentafhandeling)
Legenda herkomst: *(gedocumenteerd)* betekent dat de claim is vermeld in de documentatie van Weblate; *(beheerder)* betekent dat het werd vermeld door een beheerder gedurende het proces voor dit threat-model; *(afgeleid)* betekent dat de reden komt uit de huidige projectvorm en bevestiging van de beheerder nodig is.
Overzicht herkomst: 97 gedocumenteerd / 65 beheerder / 0 afgeleide claims.
Weblate is een op Django gebaseerd webvertaalplatform. Het accepteert werk van gebruikers van de browser, API-cliënten, tokens in het projectbereik, webhooks van opslagruimten, VCS-opslagruimten, back-uparchieven, werkers op de achtergrond en geconfigureerde externe services, en slaat dan vertaalprojecten op en synchroniseert die met een database, gegevensopslag, opslagruimten op het lokale bestandssysteem en externe systemen voor hosten van code. (documented) (source: Weblate documentatie, Weblate REST API, Doorlopende vertaling)
Bereik en bedoeld gebruik¶
Onderdeelfamilie |
Representatief oppervlak |
Effecten buiten het proces |
Modelstatus |
|---|---|---|---|
Web UI en REST API |
Browserweergaven, formulieren, sessie eindpunten, Weblate REST API |
Database, gegevensopslag, e-mail, logs, geüploade bestanden |
In bereik. (documented) (source: Weblate REST API, Instructies voor configureren) |
Authenticatie, sessies en autorisatie |
Inloggen, 2FA, SSO, teams, rechten, toegang tot project, API-tokens |
Database, identiteitsproviders, browsercookies |
In bereik. (documented) (source: Authenticatie, Toegangsbeheer) |
API-tokens in bereik project |
Tokens gemaakt in project API-toegang |
Dezelfde effecten voor toepassing als die welke de rechten voor het token toestaan |
In bereik als geauthenticeerde medewerkenden met gedelegeerd bereik project. (documented) (source: Weblate REST API, Toegangsbeheer) |
Webhaken |
Notificatie-hooks, project Hooks inschakelen |
Achtergrondtaken plannen en bijwerken VCS-opslagruimte |
In bereik als een publieke, uitrol-verharde interface. (documented) (source: Notificatie-hooks, Hooks inschakelen) |
Integratie VCS |
URL’s opslagruimten, branches, pushes, pulls, merge requests, lokale kloons |
Bestandssysteem, opdrachten kind-VCS, SSH/HTTPS netwerkverbindingen |
In bereik indien bereikbaar door configuratie van Weblate of projectinhoud. (documented) (source: Doorlopende vertaling, Integraties hosten code) |
Achtergrondtaken |
Celerywachtrijen voor bijwerken opslagruimten, notificaties, vertaalgeheugen, vertaling en back-ups |
Database, gegevensopslag, bestandssysteem, uitgaand netwerk |
In bereik als Weblatebeheerde uitvoering van gebruiker of acties van operator. (documented) (source: Instructies voor configureren) |
Projectback-up importeren/exporteren |
Geüploade ZIP-archieven, herstellen bestandssysteem, status opslagruimte |
In bereik. (documented) (source: Weblate back-uppen en verplaatsen, Opdrachten voor beheer) |
|
Service back-up |
Configuratie BorgBackup en |
Lokale opslag of opslag back-up op afstand over bestandssysteem of SSH |
In bereik voor Weblate’s afhandeling van geconfigureerde taken voor back-up; Borg zelf ligt buiten het bereik. (documented) (source: Weblate back-uppen en verplaatsen, Opdrachten voor beheer) |
Machinevertaling en uitgaande integraties |
Machinevertaling, avatars, rapporteren status, telemetrie, fouten rapporteren, VCS-hosts, add-on CDN |
Uitgaand HTTP(S), provider-API’s, logs |
In bereik voor Weblate’s afdwingen van geconfigureerde toegang en beperkingen voor netwerk. Providergedrag ligt buiten het bereik. (documented) (source: Configuratie, Add-ons) |
Add-ons |
Ingebouwde add-ons en door beheerde geconfigureerde uitvoering van add-on |
Varieert per add-on; kan opslagruimten of contactservices muteren |
Ingebouwde add-ons liggen in het bereik indien ingeschakeld. Add-ons van derde partijen liggen buiten het bereik, behalve voor Weblate’s poorten voor rechten en installeren. (maintainer) |
Opdrachten voor beheer |
Opdrachten weblate, uitgevoerd door een operator |
Database, bestandssysteem, VCS, opslag back-up |
In bereik bij het verwerken van niet-vertrouwde gegevens van Weblate; de shell van de lokale operator wordt vertrouwd. (maintainer) |
Testen, gemaakte documenten, schermafdrukken, bevestigingen voor ontwikkeling |
|
Bestanden alleen-ontwikkelen en gemaakte artefacten |
Buiten bereik voor claims voor productbeveiliging. (maintainer) |
De bedoelde uitrol is een Weblateinstallatie aan de zijde van de server, achter een webserver of omgekeerde proxy, met een toepassingsserver WSGI, PostgreSQL-database, gegevensopslag, Celerywerkers, een te beschrijven map en optioneel uitgaande VCS, back-up, identiteits-provider en integraties voor machinevertaling. (documented) (source: Instructies voor configureren)
De relevante acteurs zijn gesplitst op niveau van vertrouwen: niet-geauthenticeerde cliënten, geauthenticeerde gebruikers, beoordelaars, projectbeheerders, beheerders, API-tokens in projectbereik, afzenders van webhaken, externe VCS-providers, geconfigureerde externe services en lokale operators. (documented) (source: Toegangsbeheer, Weblate REST API)
Weblate is niet bedoeld om te worden ingebed als een in-proces beveiligingsbibliotheek, te worden gebruikt als een zandbak voor niet-vertrouwde code, of te worden weergegeven zonder de besturingselementen voor uitrol die zijn gedocumenteerd voor gebruik in productie. (maintainer)
Buiten bereik¶
Het volgende zijn expliciete niet-doelen voor dit model:
Een gecompromitteerd account voor het besturingssysteem, container runtime, databaseserver, gegevensopslag, omgekeerde proxy of shell van de beheerder. Weblate wordt binnen deze grenzen uitgevoerd en claimt niet zichzelf te beschermen tegen een reeds gecompromitteerde host. (maintainer)
Een kwaadwillende beheerder van een site van Weblate of lokale operator met onbeperkte toegang tot de server. Een dergelijke acteur kan wijzigingen, inloggegevens, gegevens of code wijzigen. (maintainer)
Kwetsbaarheden in afhankelijkheden van derde partijen als onafhankelijke projecten. Algemene kwetsbaarheden voor Django, Django REST framework, Python Social Auth, BorgBackup, VCS, database en provider worden upstream gerapporteerd, tenzij het probleem ligt in het gebruik door Weblate ervan. (documented) (source: Kwetsbaarheid en incidentafhandeling)
Hygiëne voor bouw en uitgave, inclusief vastzetten van acties, ondertekenen van artefacten, frisheid van afhankelijkheden en beveiliging van branches van de opslagruimte. Deze beïnvloeden bewerkingen van het project, maar zijn geen claims voor bedreigingsmodellen over het runtimegedrag van Weblate. (maintainer)
Algemene beveiliging van externe VCS-providers, identiteitsproviders, mailservers, services voor machinevertaling, avatarservices, CDN-opslag of opslag van back-up. Weblate modelleert alleen zijn geconfigureerde interacties ermee. (maintainer)
Keuzes voor de keten voor het indienen van vertalingen door gebruikersorganisaties buiten Weblate. Uitbestede of crowdsourced vertalerrisico’s worden afzonderlijk beschreven in Vertalen bedreigingen model. (documented) (source: Vertalen bedreigingen model)
Code voor derde partij add-on, lokale aangepaste code, ontwikkelbevestigingen, uitvoer van gemaakte documentatie, code voor alleen-testen en demo- of voorbeeldgegevens. (maintainer)
Grenzen van vertrouwen en gegevensstroom¶
Weblate’s primaire grens van vertrouwen is de op het netwerk gerichte toepassingsoppervlak: browserweergaven, API-eindpunten, webhookeindpunten en uploadeindpunten accepteren gegevens van minder vertrouwde acteurs en vertalen die naar databaserijen, status van de lokale opslagruimte, achtergrondtaken, uitgaande verzoeken en gerenderde UI. (maintainer)
Grens |
Transitie vertrouwen |
|---|---|
Cliënt browser/API-cliënt naar Weblate |
Niet vertrouwde of geauthenticeerde verzoeken worden acties waarvan de rechten door de toepassing worden gecontroleerd. (documented) (source: Weblate REST API, Toegangsbeheer) |
Afzender webhaak naar Weblate |
Publieke vervalste notificaties kunnen synchroniseren van de opslagruimte plannen als hooks zijn ingeschakeld. (documented) (source: Notificatie-hooks, Hooks inschakelen) |
Weblate naar database/gegevensopslag |
Status van de rechten controlerende toepassing wordt persistente gegevens en werk voor de wachtrij. (documented) (source: Instructies voor configureren) |
Weblate naar lokale VCS-opslagruimten |
Projectconfiguratie en inhoud schijfbestandssysteem voor opslagruimte en VCS-bewerkingen. (documented) (source: Doorlopende vertaling) |
Weblate naar externe services |
Geconfigureerde URL’s, inloggegevens en providerinstellingen voor uitgaande netwerkverbindingen van de schijf. (documented) (source: Integraties hosten code, Configuratie) |
Back-uparchief naar Weblate bestandssysteem |
Geüploade ZIP-leden en metadata worden herstelde status project. (documented) (source: Weblate back-uppen en verplaatsen) |
Vooraf gestelde voorwaarden voor bereikbaarheid:
Een web-UI of API-uitkomst staat alleen in het model als het bereikbaar is via een niet-geauthenticeerde cliënt, geauthenticeerde gebruiker of token in het bereik project via gedocumenteerde routes, formulieren of API-eindpunten. (maintainer)
Een uitkomst voor authorisatie staat alleen in het model als het kruist met een gedocumenteerd recht, team, project, onderdeel, taal, woordenlijst, token of sitebrede grens. (documented) (source: Toegangsbeheer)
Een uitkomst voor een webhaak staat alleen in het model als een verzoek een ingeschakeld eindpunt voor de webhaak kan bereiken en planning van bijwerken van de opslagruimte, taak voor volume of aan de aanvrager teruggegeven informatie kan beïnvloeden. (documented) (source: Notificatie-hooks, Hooks inschakelen)
Een uitkomst voor een VCS staat alleen in het model met door aanvallers beheerde of minder vertrouwde gegevens voor de opslagruimte, branchnamen, URL’s, bestandsnamen, indienen metadata, of projectconfiguratie Weblate’s VCS-bewerkingen kan beïnvloeden. (maintainer)
Een uitkomst voor importeren van back-up staat alleen in het model als het bereikbaar is vanuit een projectback-up die is geüpload via Weblate of is aangeboden bij
import_projectbackup. (documented) (source: Projectniveau back-ups,import_projectbackup)Een uitkomst voor een achtergrondtaak staat alleen in het model als de taak kan worden geplaatst in een wachtrij uit een oppervlak van Weblate in het bereik of gepland onderhoudspad voor Weblate. (documented) (source: Instructies voor configureren)
Een uitkomst voor een opdracht van beheer staat alleen in het model als niet-vertrouwde gegevens van Weblate door de opdracht worden verwerkt; willekeurige toegang via de lokale shell is geen mogelijkheid voor een aanvaller. (maintainer)
Aannames over omgeving¶
Weblate gaat uit van een ondersteunde runtime van Python en Django, een correct geconfigureerde database, een gegevensopslag, een te beschrijven map voor gegevens en uitvoeren van werkers die verwerken op de achtergrond vereisen. (documented) (source: Instructies voor configureren)
Van uitrollen voor productie wordt verwacht de externe webserver of omgekeerde proxy consistent te configureren met Weblate’s instellingen voor HTTPS, host header, body-size en proxy-header. (documented) (source: Instructies voor configureren, ENABLE_HTTPS, ALLOWED_HOSTS)
Van de database, gegevensopslag en interne servicepoorten wordt aangenomen dat ze niet direct worden weergegeven aan niet-vertrouwde netwerken. (maintainer)
Van rechten voor het bestandssysteem wordt aangenomen dat het voorkomt dat niet-gerelateerde lokale gebruikers Weblate’s gegevensmap, configuratie, VCS-opslagruimten, gemaakte SSH-wrappers, back-ups en geheim materiaal aanpassen. (documented) (source: Weblate back-uppen en verplaatsen, Instructies voor configureren)
Celery-werkers zijn vertrouwde onderdelen van dezelfde instantie van Weblate. Een kwaadaardige of gecompromitteerde werker is equivalent aan een gecompromitteerd proces van de toepassing. (maintainer)
Van het uitvoeren van opdrachten voor VCS, SSH en HTTPS-cliënten wordt aangenomen dat ze worden uitgevoerd door de Weblate servicegebruiker met de inloggegevens die zijn geconfigureerd voor het relevante project of integratie. (documented) (source: Integraties hosten code, SSH_EXTRA_ARGS)
Wat Weblate met zijn host doet:
Het opent uitgaande netwerkverbindingen voor geconfigureerd VCS, identiteitsprovider, avatar, machinevertaling, back-up, statusrapporten, telemetrie, fouten rapporteren en mogelijkheden voor add-ons. (documented) (source: Configuratie, Integraties hosten code, Weblate back-uppen en verplaatsen)
Het voert VCS- en aan back-up gerelateerde hulpopdrachten uit als deel van de opslagruimte en werkstromen voor back-ups. (documented) (source: Doorlopende vertaling, Weblate back-uppen en verplaatsen)
Het schrijft naar de geconfigureerde gegevensmap, opslagruimte, media/lettertypen, dumps van back-ups, logs en cachelocaties. (documented) (source: Configuratie, Weblate back-uppen en verplaatsen)
Het verstuurt e-mail en notificaties indien geconfigureerd om dat te doen. (documented) (source: Configuratie)
Het claimt niet vrij te zijn van procesbrede effecten, zoals loggen, schrijven naar cache, uitvoeren van subproces of uitgaande netwerktoegang. (maintainer)
Bouwtijd en varianten configuratie¶
Knop |
Standaard of gedocumenteerde houding |
Effect op het model |
Standpunt onderhouder |
|---|---|---|---|
Anonieme haken op afstand zijn te configureren en moeten ook zijn ingeschakeld voor een project. (documented) |
Geeft eindpunten van webhaken weer als een publieke interface voor planning. Tegenmaatregelen voor misbruik zijn afhankelijk van uitgerolde besturingselementen. (documented) (source: Notificatie-hooks, Hooks inschakelen) |
Uitrollen voor productie geven haken weer voor limieten voor omgekeerde proxy, limieten voor body-size, monitoren en minimale publieke weergave. (maintainer) |
|
|
HTTPS beïnvloedt beveiligde cookies, verwijzingen, HSTS, WebAuthn en gegenereerde URL’s. (documented) (source: |
Uitschakelen of foutief configureren van HTTPS verwijdert beveiligingen voor transport en cookies waarop Weblate vertrouwt voor beveiliging van de browser. (documented) (source: |
De gedocumenteerde houding voor productie is HTTPS met de juiste proxy-headers. (documented) |
Configureert geaccepteerde HTTP-hostnamen. (documented) (source: |
Breed accepteren van host kan de hostgebaseerde beveiligingen en aannames voor het maken van URL’s verzwakken. (maintainer) |
Uitrollen voor productie beperken dit tot hostnamen voor de instantie. (maintainer) |
|
|
Ladinglimieten zijn te configureren. (documented) (source: Weblate REST API, Configuratie) |
Claims voor beschikbaarheid gaan uit van ladinglimieten die toepasselijk zijn voor grootte en weergave van de uitrol. (maintainer) |
Uitschakelen van ladinglimieten wijzigt DoS-triage vanuit de Weblate-bug voor de houding van de uitrol, tenzij een enkel verzoek een geclaimde eigenschap schendt. (maintainer) |
|
Bronnen voor Content Security Policy zijn te configureren. (documented) (source: Configuratie) |
Uitbreiden van de bronnen kan de beperking aan de zijde van de browser verkleinen voor XSS of inhoud van derde partijen. (maintainer) |
Uitrollen die bronnen van derde partijen toevoegen, accepteren dat uitgebreide vertrouwen voor de browser. (maintainer) |
|
Standaard gebonden grootte voor projectback-up uploaden en importeren, tellen van leden en verdachte compressieverhoudingen. (documented) (source: Configuratie) |
Verhogen of uitschakelen van deze limieten vergroot het weergeven van hersteltijd voor de bron. (documented) (source: Configuratie) |
De hierboven vermelde standaarden maken deel uit van de brongaranties voor back-up importeren. (documented) |
Private-doelbeperkingen en toegestane lijsten voor uitgaande URL’s |
Door gebruiker te configureren uitgaande URL-oppervlakken, gedocumenteerd met instellingen voor beperking van private-doel weigeren standaard interne of niet-publieke doelen. (documented) (source: |
Instellingen voor toegestane lijsten en geprivilegieerde configuratie kunnen opzettelijk de bereikbaarheid uitbreiden. (documented) (source: |
Standaard weigeren van private-doel is een beveiligingseigenschap op toepassingsniveau voor de gedocumenteerde door gebruikers te configureren URL-oppervlakken. (maintainer) |
Aangepaste opties voor SSH toestaan. (documented) (source: |
Verzwakken van SSH-algoritmes of hostverificatie wijzigt de aannames voor VCS-transport. (maintainer) |
Operators zijn eigenaar van de invloed op de beveiliging van aangepaste opties voor SSH. (maintainer) |
|
Derde partij add-ons en lokale aanpassing |
Beheerders kunnen gedrag uitbreiden. (documented) (source: Add-ons) |
Aangepaste code kan nieuwe grenzen voor vertrouwen en beveiligingseigenschappen toevoegen buiten dit model. (maintainer) |
Code van derde partijen wordt afzonderlijk gemodelleerd. (maintainer) |
Aannames voor invoer¶
Oppervlak |
Invoer |
Door aanvaller te beheren? |
Aanroeper of operator moet afdwingen |
|---|---|---|---|
Browserformulieren en REST API |
Bloktekst verzoeken, tekenreeksen query, geüploade bestanden, headers, cookies |
Ja, binnen de status van authenticatie van de acteur. (documented) (source: Weblate REST API) |
HTTPS, correcte configuratie host/proxy, ladinglimieten en toewijzen van rechten. (documented) (source: Instructies voor configureren, Toegangsbeheer) |
Authenticatie-eindpunten |
Wachtwoorden, gegevens WebAuthn, callbacks SSO, tokens herstellen |
Ja. (documented) (source: Authenticatie) |
Correcte configuratie identiteitsprovider en HTTPS. (documented) (source: Authenticatie, |
Tokens bereik project |
API-verzoeken geauthenticeerd door token |
Ja, door degene van wie het token is. (documented) (source: Weblate REST API) |
Opslag token, rotatie en minste-privilege teamlidmaatschap. (maintainer) |
Inhoud vertaling |
Brontekenreeksen, vertalingen, opmerkingen, suggesties, items woordenlijst |
Ja, van gebruikers met relevante rechten of geïmporteerde opslagruimten. (documented) (source: Vertalen met Weblate, Toegangsbeheer) |
Werkstromen beoordelen voor integriteit van project-specifieke inhoud. (documented) (source: Werkwijzen voor vertalen) |
Webhook-eindpunten |
Headers, type gebeurtenis, bloktekst, metadata opslagruimte en branch |
Ja, waar het eindpunt bereikbaar is. (documented) (source: Notificatie-hooks) |
Alleen haken inschakelen waar nodig, verzoeken beperken en monitoren. (maintainer) |
Configuratie opslagruimte |
Repository URLs, branches, push URLs, credentials, Gerrit review push options, add-on settings |
Vertrouwd voor gebruikers met corresponderende rechten voor beheren. (documented) (source: Toegangsbeheer, Doorlopende vertaling) |
VCS toewijzen en rechten voor beheren van project alleen voor vertrouwde gebruikers. (documented) (source: Toegangsbeheer) |
Externe inhoud opslagruimte |
Vertaalbestanden, branchnamen, metadata indienen |
Ja, als de opslagruimte upstream wordt beheerd door een andere acteur. (maintainer) |
Vertrouw de geconfigureerde opslagruimte upstream of beoordeel geïmporteerde wijzigingen. (maintainer) |
Projectback-up importeren |
Leden ZIP-archief, metadata, vertaalbestanden, status opslagruimte |
Ja, voor iedereen die de back-up kan uploaden of verschaffen. (documented) (source: Projectniveau back-ups) |
Houd limieten voor importeren toepasselijk voor de instantie. (documented) (source: Configuratie) |
Machinevertaling en configureren externe service |
URL’s voor providers, inloggegevens, instellingen voor model of service |
Vertrouwd voor beheerders of gebruikers die rechten voor configuratie hebben. (documented) (source: Automatische vertalingen, Toegangsbeheer) |
Behandel geconfigureerde providers als ontvangers van de aan hen verzonden gegevens; de ingediende inhoud varieert per provider en ingeschakelde mogelijkheid. (maintainer) |
Opdrachten voor beheer |
Argumenten voor de opdrachtregel en bestanden verschaft door de lokale operator |
Vertrouwde lokale invoer, tenzij het verwerken van gegevens van Weblate of projectback-ups. (maintainer) |
Beperk toegang van shell tot vertrouwde operators. (maintainer) |
Aannames voor grootte en hoeveelheid:
Weblate vertrouwt op uploadlimieten voor toepassing en omgekeerde proxy voor grote HTTP-verzoeken. (documented) (source:
PROJECT_BACKUP_UPLOAD_MAX_SIZE)Projectback-up importeren is gebonden aan het tellen van leden, samengevoegde niet-gecomprimeerde grootte, gecomprimeerde invoergrootte, minimale verhoudingsgrootte en instellingen voor compressieverhouding. (documented) (source: Configuratie)
Van API en geselecteerde webacties wordt verwacht dat ze worden beveiligd door geconfigureerde limieten voor de hoeveelheid. (documented) (source: Weblate REST API, Configuratie)
Grootte opslagruimte, aantal projecten, aantal onderdelen en werkercapaciteit zijn dingen van belang voor grootte van uitrollen, tenzij een enkele binnen bereik-invoer gedocumenteerde limieten of rechten omzeilt. (maintainer)
Tegenspeler model¶
Acteur |
Mogelijkheden binnen bereik |
Mogelijkheden buiten bereik |
|---|---|---|
Niet-geauthenticeerde internetcliënt |
HTTP(S)-verzoeken verzenden naar publieke pagina’s, registratie, inloggen, API en bereikbare indpunten voor webhaken. (documented) (source: Weblate REST API) |
Servergeheugen lezen, beheer van omgekeerde proxy omzeilen of directe toegang tot interne services. (maintainer) |
Geauthenticeerde gebruiker |
Acties uitvoeren die zijn toegestaan voor aangewezen teams, rechten en werkstroom. (documented) (source: Toegangsbeheer) |
Optreden buiten toegewezen rechten zonder een zwakte in Weblate te exploiteren. (documented) (source: Toegangsbeheer) |
Beoordelaar of projectbeheerder |
Uitvoeren van gedelegeerde rechten voor project, onderdeel, taal, beoordelen, VCS, vertaalgeheugen, schermafdruk of toegangsbeheer. (documented) (source: Toegangsbeheer) |
Word sitebeheerder, tenzij die rol gerechtigd is, of exploiteer een zwakte in Weblate. (maintainer) |
API-tokenhouder in bereik project |
API-rechten gebruiken die zijn toegewezen aan teamlidmaatschappen voor het token. (documented) (source: Weblate REST API, Toegangsbeheer) |
Toegang tot projecten, onderdelen of sitebrede functies buiten het bereik. (documented) (source: Toegangsbeheer) |
Webhook-afzender |
Vervalste, herhaalde, misvormde of hoogvolume webhaakverzoeken sturen naar ingeschakelde haakeindpunten. (documented) (source: Notificatie-hooks) |
Vervalste geauthenticeerde identiteit verkrijgen waar Weblate die niet verifieert. (maintainer) |
Externe VCS- of serviceprovider |
Teruggeven gegevens opslagruimte, API-antwoorden, verwijzingen of fouten overeenkomstig de geconfigureerde integratie. (documented) (source: Integraties hosten code) |
Compromitteren van de host van Weblate, behalve door gedrag van gegevens of protocol van processen van Weblate. (maintainer) |
Bijdrager vertalen of vertaling |
Vertaalinhoud indienen die lagere toepassingen zouden kunnen consumeren. (documented) (source: Vertalen bedreigingen model) |
Beheer van lagere toepassing escapen, renderen of beleid voor beoordelen buiten Weblate. (documented) (source: Vertalen bedreigingen model) |
Lokale operator |
Beheeropdrachten uitvoeren, configuratie wijzigen en toegang tot back-ups. (documented) (source: Opdrachten voor beheer, Weblate back-uppen en verplaatsen) |
Lokale kwaadwillende operators worden voor dit model vertrouwd. (maintainer) |
De gemodelleerde aanvaller probeert autorisatie te omzeilen, zonder rechten vertalingen of gegevens in de opslagruimte aan te passen, private project -of gebruikersgegevens te onthullen, synchroniseren of misbruiken van de opslagruimte, onveilige uitgaande verzoeken te activeren, opdrachten uit te voeren via door Weblate beheerde werkstromen, of bronnen die met de toepassing zijn verbonden uit te putten. (maintainer)
Beveiligingseigenschappen die Weblate verschaft¶
Eigenschap |
Omstandigheden |
Symptoom schending |
Niveau ernst |
|---|---|---|---|
Webautorisatie scheidt rechten voor site, project, onderdeel, taal, woordenlijst, VCS, vertaalgeheugen, schermafdruk, beoordelen en toegangsbeheer. (documented) (source: Toegangsbeheer) |
Toewijzen van rechten komt overeen met de relatie van bedoeld vertrouwen. |
Gebruiker of token kan gegevens lezen of muteren buiten toegewezen bereik. |
Beveiligingskritiek indien private gegevens of geprivilegieerde mutaties worden weergegeven. |
API-tokens in het bereik project zijn beperkt door toegewezen rechten voor project/team. (documented) (source: Weblate REST API, Toegangsbeheer) |
Token is gemaakt en opgeslagen door een vertrouwde acteur. |
Token kan buiten het bereik van project of team werken. |
Beveiligingskritiek. |
Besturingselementen voor authenticatie en sessie beschermen browsersessies als instellingen voor HTTPS en proxy correct zijn. (documented) (source: Authenticatie, |
Productie-instellingen voor HTTPS en beveiligde cookie zijn ingeschakeld. |
Verwarring over fixeren sessie, omzeilen inloggegevens of sessie tussen gekruiste gebruikers. |
Beveiligingskritiek. |
Van door de gebruiker verschafte inhoud, gerenderd door Weblate, wordt verwacht dat ze geen scripts uitvoeren in browsers van andere gebruikers. (maintainer) |
Inhoud wordt weergegeven door sjablonen van de UI van Weblate en standaard escapen. |
Opgeslagen of weergegeven XSS in de oorsprong van Weblate. |
Beveiligingskritiek. |
Invoer voor opslagruimte, branch, pad en VCS, die door Weblate wordt verwerkt, moet geen shell-opdracht uitvoeren. (maintainer) |
VCS-bewerkingen worden geactiveerd met door Weblate ondersteunde werkstromen voor opslagruimte en geconfigureerde inloggegevens. |
Injecteren van opdrachten of willekeurig uitvoeren van code als de gebruiker Weblate. |
Beveiligingskritiek. |
Private projectgegevens, gebruikersgegevens, inloggegevens, tokens, SSH-sleutels en geheime 2FA worden niet onthuld aan acteurs die daar geen recht op hebben. (documented) (source: Toegangsbeheer, Conformiteit aan regelgeving voor privacy) |
Rechten voor host, database en opslag zijn intact. |
Lek tussen projecten, weergeven van inloggegevens of niet-geautoriseerd exporteren. |
Beveiligingskritiek. |
Back-up importeren weigert archieven die de gedocumenteerde upload overschrijden, lid, samengevoegde grootte en verdachte drempels voor compressie. (documented) (source: Configuratie, Projectniveau back-ups) |
Standaarden of striktere limieten blijven geconfigureerd. |
Overmatig of sterk vergroot archief wordt geaccepteerd buiten de geconfigureerde drempels. |
Beveiligingskritiek voor enkel-verzoek DoS; anders probleem beschikbaarheid. |
Gedocumenteerde door gebruiker te configureren uitgaande URL-oppervlakken weigeren standaard interne of niet-publieke doelen. (documented) (source: |
Standaardcontroles private-doel zijn ingeschakeld en er is geen uitzondering van toepassing van een toegestane lijst. |
Een door de gebruiker te configureren URL voor schermafdrukken, URL voor HTML op afstand, projectwebsite of browserURL voor opslagruimte, uitgaande URL voor webhaak of VCS-URL bereikt een intern of niet-publiek doel, ondanks de standaardcontroles. |
Beveiligingskritiek als het interne services of metadata weergeeft. |
Weblate legt wijzigingen vast voor beveiligingsrelevante accounts, rechten en instellingen voor project of onderdeel in auditlogs of geschiedenis. (documented) (source: Conformiteit aan regelgeving voor privacy, Weblate 2026.7) |
Loggen is geconfigureerd en opslag is beschikbaar. |
Ontbrekend spoor voor audit voor een actie waarvan Weblate claimt dat het die logt. |
Beveiligingskritiek als het onderzoek blokkeert of geprivilegieerde wijzigingen; alleen-correct voor gaten van kleinere gebeurtenissen. |
Lading gelimiteerde API- en webacties dwingen geconfigureerde limieten voor lading af. (documented) (source: Weblate REST API, Configuratie) |
Limiteren van lading is ingeschakeld en gevolgd door een werkende opslag voor gegevens. |
Verzoeken overschrijden geconfigureerde drempels om door te kunnen gaan met verwerken. |
Beschikbaarheid/beveiliging verharden afhankelijk van gevoeligheid eindpunt. |
Weblate geeft niet met opzet database, gegevensopslag, opslag voor back-up of ruwe interne opslag direct weer via de publieke webinterface; geëxporteerde VCS-opslagruimten worden met opzet weergegeven door Git exporter als die optionele module is ingeschakeld. (maintainer) |
Uitrollen serveert geen interne opslagpaden als statische bestanden, behalve voor gedocumenteerde mogelijkheden voor exporteren. |
Publiek verzoek haalt ruwe interne opslag op, configuratie of niet-geëxporteerde gegevens uit de opslagruimte. |
Beveiligingskritiek. |
Drempels voor bronnen in dit model zijn gedocumenteerde standaarden voor configuratie waar ze bestaan, speciaal limieten voor importeren van back-ups en limieten voor ladingen. Voor grootte van opslagruimte, tellen van project, tellen van onderdeel en vertaalvolume, claimt Weblate geen vast universeel plafond voor de bronnen, onafhankelijk van de capaciteit voor uitrollen. (maintainer)
Beveiligingseigenschappen die Weblate niet verschaft¶
Weblate authenticeert niet elke aflevering van een webhaak cryptografisch voor alle ondersteunde vervalste integraties. Haakeindpunten zijn compatibiliteit-georiënteerd en uitrol-verhard, in plaats van dat ze uniform vervalst-geauthenticeerd zijn. Rapporten die alleen niet-geauthenticeerd activeren laten zien binnen gemodelleerde effecten zijn VALID-HARDENING, anders dan BY-DESIGN. (maintainer)
Weblate maakt geen niet-geauthenticeerd equivalent van de webhaak naar een vertrouwde vervalste identiteit. Verwerken van haken kan bijwerken van werkstromen activeren, maar attributie en authenticiteit zijn zwakker dan voor een geauthenticeerde gebruiker of token. (maintainer)
Weblate is geen zandbak voor kwaadwillende beheerders, kwaadwillende operators, add-ons van derde partijen, aangepaste code voor uitrollen, VCS-cliënten of programma’s voor back-ups. (maintainer)
Weblate garandeert niet dat vertaalinhoud veilig is indien gekopieerd naar een lagergelegen product, zonder het eigen escapen, valideren of beoordelen van dat product. Vertaalcontroles en werkstromen voor beoordelen helpen de kwaliteit en risico van de vertaling te beheren; ze zijn geen volledige grens voor de beveiliging van de lagergelegen toepassing. (documented) (source: Vertalen bedreigingen model, Controles en reparaties)
Valse vrienden:
Rechten voor Weblate zijn autorisatie voor de toepassing, geen zandbak voor een host. Aan gebruikers gegeven rechten voor het beheren van VCS of project kunnen opzettelijk integraties configureren binnen de kracht van die rol. (maintainer)
Webhaakovereenkomsten voor project en parsen van gebeurtenissen zijn geen bewijs dat de afzender de legitieme bron is als de integratie de aflevering niet authenticeert. (maintainer)
Vertaalcontroles ontdekken veelvoorkomende problemen met kwaliteit en indeling; ze zijn geen garantie dat vertaalde tekenreeksen veilig zijn voor elke lagergelegen renderer. (documented) (source: Controles en reparaties, Vertalen bedreigingen model)
Versleuteling voor BorgBackup beschermt archieven voor back-ups overeenkomstig het ontwerp van Borg; Weblate voegt geen afzonderlijke cryptografische garantie toe voor internen van Borg. (documented) (source: Weblate back-uppen en verplaatsen)
Limieten voor lading verkleinen misbruik van geconfigureerde eindpunten; ze zijn geen garantie van beschikbaarheid onder volumetrische netwerkaanvallen. (maintainer)
Bekende achtergelaten hele of gedeeltelijke klassen van aanvallen voor uitrollen of lagergelegen systemen:
Phishing en hergebruik van inloggegevens wordt verminderd door beleid voor authenticatie en 2FA, maar Weblate kan niet voorkomen dat gebruikers inloggegevens onthullen buiten de service. (maintainer)
Kwaadwillende vertalingen kunnen XSS, tekenreeks voor opmaak, opdracht of beleidsproblemen in lagergelegen toepassingen worden die deze niet veilig renderen. (documented) (source: Vertalen bedreigingen model)
Door gebruiker te configureren uitgaande URL’s oppervlakken met gedocumenteerde beperkingen voor private-doel weigeren standaard interne of niet-publieke doelen; geprivilegieerde toegestane lijsten, proxy’s en een door beheerders beheerde configuratie kunnen bereikbaarheid opzettelijk uitbreiden. (maintainer)
Grote geschiedenissen van opslagruimte, projectschaal en volume van achtergrondtaken vereisen het op maat brengen van uitrollen en operationele limieten buiten het valideren van enkele-invoer van Weblate. (maintainer)
Lagergelegen verantwoordelijkheden¶
Operators moeten Weblate uitrollen achter productiegraads HTTPS met correcte proxy-headers, hostnamen, limieten voor grootte van verzoeken en gedrag van veilige cookies. (documented) (source: Instructies voor configureren, ENABLE_HTTPS, ALLOWED_HOSTS)
Operators moeten teams toewijzen, rollen, tokens binnen het bereik project, inloggegevens voor VCS en rechten voor projectbeheer overeenkomstig het minste privilege voor hun organisatie. (documented) (source: Toegangsbeheer, Weblate REST API)
Operators die Notificatie-hooks weergeven moeten die alleen inschakelen waar nodig en uitrolbeheer verschaffen, zoals hoeveelheidslimieten voor omgekeerde proxy, limieten voor blokteksten, monitoren en optionele beperkingen voor bron. (maintainer)
Operators moeten toegestane lijsten voor private-doel, proxy’s en instellingen voor geprivilegieerde uitgaande integratie behandelen als opzettelijke uitbreiding van de limieten van Weblate standaard netwerkbereikbaarheid. (maintainer)
Operators moeten limieten voor importeren van back-ups, limieten voor hoeveelheid API en limieten voor hoeveelheid web bijhouden op waarden die overeenkomen met de capaciteit van de instantie en de weergave. (documented) (source: Configuratie)
Operators moeten de gegevensmap van Weblate, configuratie, inloggegevens voor back-up, gemaakte sleutels, database, gegevensopslag en lokale toegang voor shell beveiligen als een vertrouwde infrastructuur. (documented) (source: Weblate back-uppen en verplaatsen, Instructies voor configureren)
Lagergelegen productteams moeten vertaalde tekenreeksen in hun eigen toepassingen behandelen als niet vertrouwde inhoud, tenzij ze deze afzonderlijk hebben beoordeeld, geëscapet en gevalideerd voor de doelrenderer. (documented) (source: Vertalen bedreigingen model)
Bekende patronen misbruik¶
Breed weergeven van eindpunten van webhaken, inschakelen van projecthaken en vertrouwen op ladingen van webhaken als geauthenticeerd vervalsen identiteit. Dat is niet veilig, omdat sommige ondersteunde haken compatibiliteit-georiënteerd zijn. Gebruik besturingselementen voor uitrol en bij voorkeur geauthenticeerde integraties waar beschikbaar. (maintainer)
Toewijzen van rechten voor projectbeheer, VCS of toegangsbeheer aan gebruikers die alleen als vertalers worden vertrouwd. Dat is niet veilig omdat die rechten invloed kunnen hebben op opslagruimten, inloggegevens of andere gebruikers. Wijs nauwere rollen toe. (documented) (source: Toegangsbeheer)
Verzenden van gevoelige brontekenreeksen of private klantinhoud naar providers voor machinevertaling zonder de provider te behandelen als een ontvanger van gegevens. Dat is niet veilig omdat Weblate inhoud moet verzenden naar de geconfigureerde service en de ingediende inhoud varieert per provider en ingeschakelde mogelijkheid. Configureer providers overeenkomstig het gegevensbeleid voor het project. (maintainer)
Importeren van projectback-ups van niet-vertrouwde bronnen als administratief gemak. Dat is niet veilig, omdat back-ups projectmetadata bevatten, vertaalinhoud en status van de opslagruimte. Houd limieten voor importeren ingeschakeld en importeer alleen back-ups die toepasselijk zijn voor de doelinstantie. (documented) (source: Weblate back-uppen en verplaatsen)
Behandelen van vertaalcontroles van Weblate als bewijs dat lagergelegen toepassingen niet kunnen worden aangevallen via vertaalde tekenreeksen. Dit is niet veilig, omdat de lagergelegen renderer de uiteindelijke context voor uitvoeren definieert. Beoordeel en escape vertalingen in de toepassing die ze opneemt. (documented) (source: Vertalen bedreigingen model)
Bekende niet-uitkomsten¶
Een rapport dat een bereikbare webhaak kan worden aangeroepen met vervalste authenticatie en alleen planning van gemodelleerde bijwerking activeert, is op zichzelf niet
VALID. Het wordt gerouteerd naarVALID-HARDENING, tenzij het gedocumenteerde limieten omzeilt, gegevens lekt of effecten veroorzaakt buiten de gemodelleerde planning. (maintainer)Een rapport dat een projectbeheerder instellingen voor opslagplaats kan wijzigen, VCS-inloggegevens of projectconfiguratie is geen kwetsbaarheid als de acteur voor die actie de gedocumenteerde rechten heeft. (documented) (source: Toegangsbeheer)
A report that a project manager can configure Gerrit review push options is not a vulnerability by itself. Gerrit interprets these options as the configured Weblate Gerrit account and enforces Gerrit-side permissions. (documented) (source: Push-tak)
Een rapport tegen het gedrag van add-on van derde partij is geen kwetsbaarheid van de bron van Weblate, tenzij het rapport aantoont dat rechten van Weblate of grenzen voor installatie zijn omzeilt. (maintainer)
Een rapport dat een kwaadwillende lokale operator de configuratie kan lezen, beheersopdrachten kan uitvoeren of bestanden kan wijzigen, liggen buiten het model, omdat lokale operators vertrouwde infrastructuur zijn. (maintainer)
Een rapport dat een lagergelegen toepassing een gevaarlijke vertaling rendert, is geen kwetsbaarheid van Weblate, tenzij Weblate zelf een geclaimde eigenschap schendt bij het opslaan, controleren, beoordelen of weergeven van die vertaling. (documented) (source: Vertalen bedreigingen model)
Omstandigheden die dit model wijzigen¶
Reviseer dit model wanneer Weblate een nieuwe familie voor een publiek eindpunt, een nieuwe authenticatie of modus voor token, een nieuwe standaardmodus voor uitrollen, een nieuwe indeling voor back-up of importeren, een nieuw uitvoeringspad voor VCS, een nieuwe uitgaande klasse voor integratie, een nieuwe mogelijkheid voor uitvoeren van add-on toevoegt of bij een wijziging aan standaarden voor haken, HTTPS, limieten voor hoeveelheden, CSP, toegang tot private-netwerk of limieten voor importeren van back-ups. (maintainer)
Reviseer dit model wanneer een niet-ondersteund onderdeel een ondersteund productoppervlak wordt, wanneer een gedocumenteerde beveiligingseigenschap wordt verwijderd of beperkt, of wanneer onderhouders een kwetsbaarheidsrapport accepteren dat niet kan worden gerouteerd naar een triage-instelling hieronder. (maintainer)
Triage-instellingen¶
Instelling |
Betekenis |
Gelicenseerd door |
|---|---|---|
|
Schendt een eigenschap die Weblate claimt, via een in-bereik acteur en invoer. |
Security properties Weblate provides, Input assumptions, Adversary model |
|
Geen geclaimde eigenschap wordt geschonden, maar Weblate kiest ervoor om een bekend risico voor misbruik te beperken, zoals activeren van compatibiliteit voor webhaak die binnen de gemodelleerde effecten blijft. |
Known misuse patterns, Security properties Weblate does not provide |
|
Vereist beheer door een aanvaller of invoer die dit model als vertrouwd aanmerkt. |
|
|
Vereist een mogelijkheid die dit model uitsluit. |
|
|
Land in add-ons van derde partijen, gemaakte documenten, testen, lokale aanpassingen of een ander onderdeel dat als buiten bereik wordt aangemerkt. |
|
|
Manifesteert zich alleen na keuzes voor uitrollen die willens en wetens een geclaimde eigenschap verwijderen. |
|
|
Heeft betrekking op een eigenschap die Weblate niet expliciet verschaft. |
|
|
Komt overeen met een herhalende valse positieve. |
|
|
Kan niet netjes worden gerouteerd naar enige instelling hierboven. |