GNU Wget2 mit kritischer Schwachstelle

Angreifende können die Schwachstelle so ausnutzen, dass sie das System übernehmen können. Andere Folgen können Datenverlust oder die Manipulation sicherheitsrelevanter Konfigurationseinstellungen sein.

Dies kann gelingen durch entsprechend präparierte Metalink-Dateien, die das System unzureichend prüft. Dadurch ist ein Path-Traversal-Angriff möglich.

Dies berichten verschiedene Medien und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Lücke hat die Kennung CVE-2025-69194 und einen CVSS-Base-Score von 9.8/10. Betroffen sind die Versionen vor Version 2.2.1 des Produkts.

GNU Wget2 ist ein weit verbreitetes Befehlszeilenprogramm zum Herunterladen von Dateien aus dem Internet.

Mit Version 2.2.1 steht zwar ein Patch zur Verfügung, jedoch noch nicht für alle Distributionen. Installieren Sie den passenden Patch. Wenn noch kein geeigneter Patch erhältlich ist, beachten Sie folgende Empfehlungen:

• Verwenden Sie Metalink-Dateien nur aus vertrauenswürdigen Quellen.
• Implementieren Sie Netzwerk- und Zugriffskontrollen.
• Prüfen Sie, ob Ihre Systeme betroffen sind.
• Prüfen Sie regelmäßig, ob für Ihre GNU-Wget2-Installation ein Patch vorhanden ist.