【漏洞预警】Wget服务器端请求伪造漏洞(CVE-2024-10524)

科技   2024-11-20 21:55   北京  

漏洞描述:

GNU Wget是一个广泛使用的开源命令行工具,主要用于从网络上下载文件,它由GNU项目开发,支持 HTTP、HTTPS和FTP协议,因此可以用于从各种类型的网络服务器获取文件,Wget中存在一个解析不当导致的服务器端请求伪造漏洞(CVE-2024-10524),该漏洞的CVSS评分为6.5,目前该漏洞的技术细节已公开,Wget1.24.5及之前版本中,由于Wget在处理HTTP简写格式URL时解析不当,错误地将包含冒号(:)的用户输入解析为FTP请求,导致将原本应为HTTP请求的URL错误地解析为FTP请求,攻击者可通过控制简写URL中的用户信息部分(例如malwaredomain:aaa@reliableserver)来改变请求目标,从而将请求发送到恶意服务器,该漏洞可能导致服务器端请求伪造攻击、钓鱼攻击、MITM(中间人)攻击和数据泄露等。


影响范围:
Wget <= 1.24.5

修复建议:
目前该漏洞已经修复,受影响用户可升级到Wget 1.25.0或更高版本。

下载链接:
https://mirror.team-cymru.com/gnu/wget/wget-1.25.0.tar.gz

临时措施:

暂无

参考链接:

https://seclists.org/oss-sec/2024/q4/107

飓风网络安全
专注网络安全,成立于2014年;专注于研究安全服务,黑客技术、0day漏洞、红蓝对抗、威胁情报、应用安全、主机安全,提供服务器网站安全解决方案,数据库安全、服务器安全运维。
 最新文章