В GNU Wget2 нашли неприятную уязвимость, которая звучит как мелочь, а по факту может закончиться тем, что один файл перезапишет вам что угодно на машине. Уязвимость получила номер CVE-2025-69194 и оценку 8,8 балла по CVSS, то есть это не из разряда потом как нибудь. Особенно если Wget2 у вас стоит не просто для ручных скачиваний, а крутится в автоматических скриптах.
Проблема сидит в обработке Metalink файлов. Это такие XML документы, где перечислены зеркала и хеш суммы для загрузки, их любят использовать дистрибутивы Linux и всякие P2P схемы. По нормальной логике Wget2 должен складывать скачанное строго в папку, которую указал пользователь. Но из за ошибки в коде он начинает доверять путям, которые прописаны внутри самого Metalink файла, даже если файл подложный.
Дальше включается классика жанра, получают доступ к файлам и директориям. Злоумышленник делает специально подготовленный Metalink, где имя сохраняемого объекта содержит обход каталога, например ../../. Если пользователь или скрипт обрабатывает такой файл через Wget2, программа может выйти за пределы текущей директории и записать данные туда, куда укажет атакующий. А это уже означает удаленную перезапись произвольных файлов.
Да, жертва должна сама запустить скачивание или пайплайн должен сам подтянуть этот файл, то есть это не червь, который просто прилетает из воздуха. Но последствия могут быть тяжелыми. Можно перезаписать пользовательские конфиги вроде .bashrc или .ssh/authorized_keys и получить скрытный доступ при следующем входе. Можно затереть важные системные файлы или базы данных мусором. А если Wget2 используется внутри CI/CD, история становится еще опаснее, потому что через подмену файлов можно попытаться протащить бэкдор в собираемый продукт.
Уязвимость уже закрыта в Wget2 2.2.1. Рекомендация простая, обновиться штатными менеджерами пакетов своего дистрибутива. До обновления эксперты советуют не обрабатывать Metalink файлы из непроверенных источников, особенно там, где это делает автоматика.
Читайте также
Китайские хакеры научились прятать бэкдоры в ядре Windows: новая тактика группировки Mustang Panda
Mustang Panda поднял скрытность на уровень ядра Windows. Руткит через драйвер ProjectConfiguration.sys обходит антивирусы, работает в памяти и внедряет TONESHELL …
ЦБ РФ расширяет список признаков мошеннических переводов с 1 января 2026 года
ЦБ утвердил обновленный список признаков мошеннических переводов, с 1 января 2026 банки обязаны будут ставить такие операции на паузу или …
MongoDB CVE-2025-14847 утечка памяти без аутентификации
MongoDB выявила уязвимость CVE-2025-14847, сервер может отдавать куски неинициализированной памяти неаутентифицированному клиенту, если включён zlib.
