GNU Wget2 2.2.1 現已發布。它是 GNU Wget 程式的完全重寫和重新設計版本,用於自動遞歸下載內容。 Wget2 提供了一系列附加選項,支援多線程下載,可透過 libwget 庫使用可用功能,支援 HTTP/2 和 TLS 1.3 協議,支援僅下載已更改的數據,可以從串流媒體伺服器保存數據,正確處理國際化域名,並可轉碼已下載的內容。 Wget2 採用 GPLv3+ 許可證,libwget 函式庫採用 LGPLv3+ 授權。
新版本修復了兩個漏洞:
- CVE-2025-69194 — 處理 Metalink 格式(用於描述下載連結)的內容時,檔案路徑驗證存在問題。在檔案路徑區塊中使用“../”序列時,檔案路徑驗證不完整。攻擊者可以建立、清除或覆寫上傳檔案所在根目錄以外的任意檔案。例如,攻擊者可以覆蓋 ~/.ssh/authorized_keys 或 ~/.bashrc 的內容,並在系統上執行其惡意程式碼。
- CVE-2025-69195 — get_local_filename_real() 函數中的檔案名稱清理程式碼存在緩衝區溢位漏洞,在處理已載入頁面上的特製 URL 或處理重定向時,可能會導致程式碼執行。當啟用“--restrict-file-names=windows|unix|ascii”選項時,會出現此問題。該問題是由於分配了一個固定的 1024 位元組緩衝區,而沒有檢查寫入資料的實際大小所致。
非安全相關的變更包括:新增「--show-progress」選項以指示下載進度;在指定「--no-use-server-timestamps」選項時使用本機時間;支援設定參數中的「no_」前綴;以及使用 libnghttp2 進行 HTTP/2 測試。
來源: opennet.ru
