ProHoster > Blog > actualités internet > GNU Wget2 2.2.1 corrige une vulnérabilité qui pourrait permettre l'écrasement de fichiers arbitraires.

GNU Wget2 2.2.1 corrige une vulnérabilité qui pourrait permettre l'écrasement de fichiers arbitraires.

GNU Wget2 2.2.1 est désormais disponible. Il s'agit d'une version entièrement réécrite et repensée du programme GNU Wget pour le téléchargement automatisé et récursif de contenu. Wget2 offre de nombreuses options supplémentaires, prend en charge les téléchargements multithread, permet l'utilisation des fonctionnalités disponibles via la bibliothèque libwget, est compatible avec les protocoles HTTP/2 et TLS 1.3, permet le téléchargement des seules données modifiées, peut enregistrer des données provenant de serveurs de streaming, gère correctement les noms de domaine internationalisés et peut transcoder le contenu téléchargé. Wget2 est distribué sous licence GPLv3+ et la bibliothèque sous licence LGPLv3+.

La nouvelle version corrige deux vulnérabilités :

  • CVE-2025-69194 — Validation insuffisante des chemins de fichiers lors du traitement de contenu au format Metalink, utilisé pour décrire les liens de téléchargement. Utilisation de la séquence « ../ » dans les chemins de fichiers au sein d'un bloc. Un attaquant peut créer, supprimer ou écraser des fichiers arbitraires en dehors du répertoire de base dans lequel ils sont téléchargés. Par exemple, il pourrait écraser le contenu de ~/.ssh/authorized_keys ou de ~/.bashrc et exécuter son code sur le système.
  • CVE-2025-69195 — Un dépassement de tampon dans le code de validation des noms de fichiers de la fonction `get_local_filename_real()` pourrait potentiellement entraîner l'exécution de code lors du traitement d'URL spécialement conçues sur des pages chargées ou lors du traitement de redirections. Ce problème survient lorsque l'option `--restrict-file-names=windows|unix|ascii` est activée et est dû à l'allocation d'un tampon fixe de 1 024 octets sans vérification de la taille réelle des données écrites.

Les modifications non liées à la sécurité comprennent l'ajout de l'option « --show-progress » pour indiquer la progression du téléchargement, l'utilisation de l'heure locale lors de la spécification de l'option « --no-use-server-timestamps », la prise en charge du préfixe « no_ » dans les paramètres de configuration et l'utilisation de libnghttp2 pour les tests HTTP/2.

Source: opennet.ru

Achetez un hébergement fiable pour les sites avec protection DDoS, serveurs VPS VDS 🔥 Achetez un hébergement web fiable avec protection DDoS, serveurs VPS et VDS | ProHoster