Wget · Wget · CVE-2024-10524
Nome do software vulnerável e versões afetadas:
Versões do Wget anteriores à 1.25.0
Descrição:
O problema está relacionado à validação insuficiente de solicitações no lado do servidor, permitindo que invasores explorem o tratamento de URLs abreviadas pelo Wget. Isso pode levar a ataques de falsificação de solicitação no lado do servidor (SSRF), ataques de phishing ou ataques de intermediário (MiTM). Aplicativos que utilizam o Wget para acessar recursos remotos por meio de URLs abreviadas e transmitem credenciais de usuário arbitrárias na URL estão vulneráveis. Os invasores podem inserir credenciais falsificadas, fazendo com que o Wget acesse um host arbitrário.
Recomendações:
Para versões anteriores à 1.25.0, atualize para o Wget 1.25.0 ou posterior para mitigar o risco.
Como solução alternativa temporária, considere sanitizar entradas e evitar o uso de URLs abreviadas.
Restrinja o acesso a módulos ou funções vulneráveis para minimizar o risco de exploração.