O GNU Wget2 2.2.1 já está disponível. Ele representa uma versão completamente reescrita e redesenhada do programa GNU Wget para download recursivo automatizado de conteúdo. O Wget2 oferece uma série de opções adicionais, suporta downloads multithread, permite o uso de funcionalidades disponíveis através da biblioteca libwget, suporta os protocolos HTTP/2 e TLS 1.3, permite o download apenas dos dados alterados, pode salvar dados de servidores de streaming, lida corretamente com nomes de domínio internacionalizados e pode transcodificar o conteúdo baixado. O Wget2 é licenciado sob a licença GPLv3+ e a biblioteca é licenciada sob a licença LGPLv3+.
A nova versão corrige duas vulnerabilidades:
- CVE-2025-69194 — Falta de validação adequada do caminho do arquivo ao processar conteúdo no formato Metalink, usado para descrever links de download. Uso da sequência "../" em caminhos de arquivo dentro de um bloco. Um atacante pode criar, apagar ou sobrescrever arquivos arbitrários fora do diretório base em que foram carregados. Por exemplo, um atacante poderia sobrescrever o conteúdo de ~/.ssh/authorized_keys ou ~/.bashrc e executar seu código no sistema.
- CVE-2025-69195 — Um estouro de buffer no código de sanitização de nomes de arquivo na função get_local_filename_real() pode potencialmente levar à execução de código ao processar URLs especialmente criadas em páginas carregadas ou ao processar redirecionamentos. O problema ocorre quando a opção "--restrict-file-names=windows|unix|ascii" está habilitada e é causado pela alocação de um buffer fixo de 1024 bytes sem verificar o tamanho real dos dados que estão sendo gravados.
As alterações não relacionadas à segurança incluem a adição da opção "--show-progress" para indicar o progresso do download, o uso da hora local ao especificar a opção "--no-use-server-timestamps", suporte ao prefixo 'no_' nos parâmetros de configuração e o uso da libnghttp2 para testes de HTTP/2.
Fonte: opennet.ru
