PT-2024-4197 · Gnu+11 · Gnu Wget+11

Bachir Bendrissou

·

Publicado

2024-06-01

·

Atualizado

2026-01-20

·

CVE-2024-38428

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Nome do software vulnerável e versões afetadas
GNU Wget versões 1.24.5 e anteriores
Descrição
O problema está relacionado ao gerenciador de componentes URI userinfo no GNU Wget, onde dados destinados ao subcomponente userinfo são interpretados erroneamente como parte do subcomponente host devido a um comportamento inseguro ao lidar com ponto-e-vírgulas. Isso poderia permitir que um invasor remoto comprometesse a confidencialidade e a integridade de informações protegidas.
Recomendações
Para as versões 1.24.5 e anteriores do GNU Wget, considere atualizar para uma versão posterior à 1.24.5 para resolver o problema. Como solução temporária, evite usar ponto-e-vírgulas no subcomponente userinfo de uma URI até que um patch esteja disponível. Restrinja o acesso a informações confidenciais que possam ser afetadas por este problema até que a atualização seja aplicada.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-436CWE-115

Identificadores relacionados

ALSA-2024:5299
ALSA-2024:6192
ALT-PU-2024-12369
ALT-PU-2024-12470
ALT-PU-2024-12624
ALT-PU-2024-13285
AZL-42691
BDU:2024-04683
CESA-2024_5299
CVE-2024-38428
DLA-4133-1
INFSA-2024_5299
INFSA-2024_6192
MGASA-2024-0240
OESA-2024-1756
OPENSUSE-SU-2024:14056-1
OPENSUSE-SU-2024_2174-1
OPENSUSE-SU-2024_2201-1
RHSA-2024:4998
RHSA-2024:5299
RHSA-2024:6192
RHSA-2024:6208
RHSA-2024:6438
RHSA-2024_5299
RHSA-2024_6192
SUSE-SU-2024:2154-1
SUSE-SU-2024:2174-1
SUSE-SU-2024:2174-2
SUSE-SU-2024:2201-1
SUSE-SU-2024_2154-1
SUSE-SU-2024_2174-1
SUSE-SU-2024_2201-1
SUSE-SU-2025:20010-1
USN-6852-1
USN-6852-2

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Debian
Gnu Wget
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu