Im Kommandozeilenprogramm wget wurde eine kritische Schwachstelle entdeckt, die als CVE-2024-38428 katalogisiert wurde und mit einem CVSS Base Score von 10,0 bewertet wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 16.06.2024 eine entsprechende Warnung herausgegeben.
Was ist wget?
wget ist ein weitverbreitetes Kommandozeilenprogramm zum Herunterladen von Dateien aus dem Internet. Von der Schwachstelle sind sowohl Linux als auch Windows in Versionen <=1.24.5 betroffen. wget sollte derzeit nicht verwendet werden, da es noch keine aktualisierte Version gibt. Ein anonymer Angreifer kann die Schwachstelle nutzen, um beliebigen Programmcode mit den Rechten des Dienstes oder einen Denial of Service Angriff auszuführen.
Semicolons falsch behandelt
In der weiteren Beschreibung heißt es, dass das Modul url.c in GNU wget bis v1.24.5 Semikolons in der userinfo-Unterkomponente eines URIs falsch behandelt, sodass es zu einem unsicheren Verhalten kommen kann, bei dem Daten, die eigentlich in der userinfo-Unterkomponente sein sollten, fälschlicherweise als Teil der host-Unterkomponente interpretiert werden. Weitere Details zu der Schwachstelle gibt es auf Borns IT- und Windows-Blog.