Προσοχή, υπάρχει μια κρίσιμη ευπάθεια στο πρόγραμμα γραμμής εντολών wget, που έχει βαθμολογία CVSS 10,0. Το CERT προειδοποιεί για την ευπάθεια, η οποία περιέχεται στις εκδόσεις wget <=1.24.5.
Ένας εισβολέας μπορεί να πραγματοποιήσει μια απροσδιόριστη επίθεση. Όποιος χρησιμοποιεί wget σε Linux ή Windows θα πρέπει να σταματήσει να το χρησιμοποιεί επειδή δεν υπάρχει ακόμα κάποια ενημερωμένη έκδοση.
Το wget είναι ένα δωρεάν πρόγραμμα γραμμής εντολών από το GNU project για τη λήψη αρχείων από το Διαδίκτυο. Τα υποστηριζόμενα πρωτόκολλα περιλαμβάνουν ftp, http και https. Το πρόγραμμα είναι διαθέσιμο μεταξύ άλλων για Unix, GNU/Linux, OS/2, Windows και SkyOS. Είναι αδειοδοτημένο με τη Γενική Άδεια Δημόσιας Χρήσης GNU (GNU General Public License) και μπορείτε να το κατεβάσετε από τη σελίδα Wget.
Η Κρίσιμη ευπάθεια του wget CVE-2024-38428
Η ευπάθεια αρχικά είχε αξιολογηθεί σαν κρίσιμη και είχε βαθμολογία CVSS 10,0. Σήμερα το cert-bund αναφέρει:
CVSS Base Score
6.3 (medium)
CVSS Temporal Score
5.5 (medium)
Το url.c {src/url.c (url_skip_credentials)} στο GNU Wget της έκδοσης 1.24.5 χειρίζεται εσφαλμένα ερωτηματικά ενός URI και μπορεί να υπάρξει ανασφαλής συμπεριφορά κατά την οποία τα δεδομένα που υποτίθεται ότι βρίσκονται στο δευτερεύον στοιχείο πληροφοριών (subcomponent) του χρήστη παρερμηνεύονται σαν μέρος του subcomponent του κεντρικού υπολογιστή.