CVE-2025-69194

Nome do Software Vulnerável e Versões Afetadas GNU Wget2 (versões afetadas não especificadas)

Descrição O GNU Wget2 contém uma falha de path traversal ao processar documentos Metalink. A aplicação não valida corretamente os caminhos de arquivo dentro dos elementos <file name> de documentos Metalink v3/v4. Isso permite que um atacante crie arquivos Metalink maliciosos contendo sequências de traversal (como ../../) ou caminhos absolutos, forçando o Wget2 a gravar arquivos em locais não pretendidos. Isso pode levar à perda de dados, sobrescrita arbitrária de arquivos ou potencialmente à execução remota de código, caso um atacante sobrescreva arquivos de configuração do usuário. A vulnerabilidade é explorável remotamente e não requer autenticação, dependendo de que um usuário baixe um arquivo Metalink malicioso. O componente afetado é o manipulador Metalink.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.