Quelle: JFrog

Das JFrog Security Research Team hat eine Zero-Day-Schwachstelle in GNU Wget analysiert. Als weit verbreitetes Befehlszeilenprogramm für Dateiübertragungen über HTTP- und FTP-Protokolle ist Wget fest in automatisierte Workflows und CI/CD-Pipelines eingebettet, was die Tragweite der Sicherheitslücke unterstreicht, teilen die Experten mit.

Die Schwachstelle (CVE-2024-10524) betrifft demnach die fehlerhafte Verarbeitung des „userinfo“-Segments von URLs, insbesondere in Fällen, in denen Semikolons enthalten sind. Dadurch könne Wget Hostnamen falsch interpretieren, was Angreifern die Möglichkeit biete, den Datenverkehr auf bösartige Domains umzuleiten, teilt JFrog mit. Damit sei die Grundlage für komplexe SSRF-Angriffe (Server-Side Request Forgery) gelegt, die unter anderem Phishing, den Diebstahl von Zugangsdaten oder die Exfiltration sensibler Daten erleichtern können.

CVE-2024-10524 ist eine Sicherheitslücke mittleren Schweregrades, die alle Wget-Versionen bis einschließlich 1.24.5 betrifft, wobei 1.25.0 einen Fix für dieses Problem enthält. Benutzern wird empfohlen, ihr Wget auf Version 1.25.0 zu aktualisieren, um diese Sicherheitslücke zu vermeiden.

Dass Wget in Skripten, Automatisierungsprozessen und containerisierten Umgebungen häufig integriert sei, verstärke die Auswirkung der Schachstelle. Kritische Anwendungen wie Systemaktualisierungen, Paketverwaltung und Bereitstellungspipelines seien oft auf Wget angewiesen, was die Angriffsfläche vergrößere.