Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/01/2019
Wget es una herramienta de libre distribución que permite obtener archivos usando los protocolos más usados de Internet como son HTTP, HTTPS, FTP, y FTPS. Esta herramienta permite ser usada a través de la línea de comandos y por lo tanto es ampliamente usada en scripts, tareas programadas (cron), terminales sin soporte Windows-X, etc.
La vulnerabilidad, identificada con el código MITRE CVE-2018-20483, permitiría a un usuario local, obtener información sensible como son las credenciales contenidas en la URL, simplemente leyendo los atributos. Dicha información es leída de los atributos extendidos guardados con la función set_file_metadata en xattrc.c en la URL original del archivo user.xdg.origin.url.
Más información aquí.
Sistemas Afectados:Aquellos sistemas que hagan uso de GNU Wget.
Referencias:CVE-2018-20483
Solución:Actualizar a la versión 1.20.1 o posterior.
Notas: None