Дата публикации:Mon, 05 Jan 2026 12:11:18 +0300
Доступен выпуск проекта GNU Wget2 2.2.1, развивающего переписанный с нуля и полностью переработанный вариант программы для автоматизации рекурсивной загрузки контента GNU Wget. Wget2 предоставляет набор дополнительных опций, поддерживает загрузку в несколько потоков, позволяет использовать доступную функциональность через библиотеку libwget, поддерживает протоколы HTTP/2 и TLS 1.3, даёт возможность загружать только изменившиеся данные, может сохранять данные с серверов потокового вещания, корректно обрабатывает интернационализированные доменные имена и может перекодировать загружаемое содержимое. Утилита wget2 поставляется под лицензией GPLv3+, а библиотека под LGPLv3+.
В новой версии устранены две уязвимости:
- CVE-2025-69194 - отсутствие должной проверки файловых путей при обработке контента в формате Metalink, применяемом для описания ссылок на файлы для загрузки. Используя последовательность "../" в файловых путях внутри блока <file name="…">, атакующий может добиться создания, очистки или перезаписи произвольных файлов за пределами базового каталога, в который производится загрузка. Например, атакующий может перезаписать содержимое ~/.ssh/authorized_keys или ~/.bashrc и добиться выполнения своего кода в системе. CVE-2025-69195 - переполнение буфера в коде чистки имён файлов в функции get_local_filename_real(), потенциально способное привести к исполнению кода при обработке специально оформленных URL на загружаемых страницах или при обработке редиректов. Проблема проявляется при включении опции "--restrict-file-names=windows|unix|ascii" и вызвана выделением фиксированного 1024-байтового буфера без проверки фактического размера записываемых данных.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=64561