В GNU Wget2 нашли неприятную уязвимость, которая звучит как мелочь, а по факту может закончиться тем, что один файл перезапишет вам что угодно на машине. Уязвимость получила номер CVE-2025-69194 и оценку 8,8 балла по CVSS, то есть это не из разряда потом как нибудь. Особенно если Wget2 у вас стоит не просто для ручных скачиваний, а крутится в автоматических скриптах.
Проблема сидит в обработке Metalink файлов. Это такие XML документы, где перечислены зеркала и хеш суммы для загрузки, их любят использовать дистрибутивы Linux и всякие P2P схемы. По нормальной логике Wget2 должен складывать скачанное строго в папку, которую указал пользователь. Но из за ошибки в коде он начинает доверять путям, которые прописаны внутри самого Metalink файла, даже если файл подложный.
Дальше включается классика жанра, получают доступ к файлам и директориям. Злоумышленник делает специально подготовленный Metalink, где имя сохраняемого объекта содержит обход каталога, например ../../. Если пользователь или скрипт обрабатывает такой файл через Wget2, программа может выйти за пределы текущей директории и записать данные туда, куда укажет атакующий. А это уже означает удаленную перезапись произвольных файлов.
Да, жертва должна сама запустить скачивание или пайплайн должен сам подтянуть этот файл, то есть это не червь, который просто прилетает из воздуха. Но последствия могут быть тяжелыми. Можно перезаписать пользовательские конфиги вроде .bashrc или .ssh/authorized_keys и получить скрытный доступ при следующем входе. Можно затереть важные системные файлы или базы данных мусором. А если Wget2 используется внутри CI/CD, история становится еще опаснее, потому что через подмену файлов можно попытаться протащить бэкдор в собираемый продукт.
Уязвимость уже закрыта в Wget2 2.2.1. Рекомендация простая, обновиться штатными менеджерами пакетов своего дистрибутива. До обновления эксперты советуют не обрабатывать Metalink файлы из непроверенных источников, особенно там, где это делает автоматика.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
