Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/01/2019
Vulnerabilidad detectada en la utilidad GNU Wget
Se ha detectado una vulnerabilidad en el comando wget que permitiría obtener información sensible.Wget es una herramienta de libre distribución que permite obtener archivos usando los protocolos más usados de Internet como son HTTP, HTTPS, FTP, y FTPS. Esta herramienta permite ser usada a través de la línea de comandos y por lo tanto es ampliamente usada en scripts, tareas programadas (cron), terminales sin soporte Windows-X, etc.
La vulnerabilidad, identificada con el código MITRE CVE-2018-20483, permitiría a un usuario local, obtener información sensible como son las credenciales contenidas en la URL, simplemente leyendo los atributos. Dicha información es leída de los atributos extendidos guardados con la función set_file_metadata en xattrc.c en la URL original del archivo user.xdg.origin.url.
Más información aquí.
Sistemas Afectados:Aquellos sistemas que hagan uso de GNU Wget.
Referencias:CVE-2018-20483
Solución:Actualizar a la versión 1.20.1 o posterior.
Notas: None