PT-2026-57263 · Gnu · Wget
Publicado
2026-07-10
·
Atualizado
2026-07-10
·
CVE-2026-15146
CVSS v3.1
5.9
Média
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
GNU Wget versões anteriores a 1.25.1
Descrição
O GNU Wget não valida o endereço IP fornecido por uma resposta FTP PASV ao operar no modo passivo de FTP. Um servidor FTP malicioso, ou um servidor HTTP que redireciona para uma URL de FTP, pode explorar esse comportamento para redirecionar a conexão de dados para um endereço IP e porta arbitrários. Isso resulta em Server-Side Request Forgery (SSRF), uma técnica na qual um invasor induz uma aplicação do lado do servidor a fazer requisições para um local não pretendido, permitindo potencialmente o acesso a serviços de localhost ou recursos de rede interna.
Recomendações
Atualize o GNU Wget para a versão corrigida mais recente.
Implemente filtragem de saída robusta e segmentação de rede para limitar o impacto potencial do problema.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Wget