关于Wget服务器端请求伪造漏洞(CVE-2024-10524)的预警提示

发布者:jsut发布时间:2024-11-22浏览次数:55

一、漏洞详情

GNU Wget是一个广泛使用的开源命令行工具,主要用于从网络上下载文件。

近日,监测到Wget中存在一个解析不当导致的服务器端请求伪造漏洞(CVE-2024-10524)。Wget 1.24.5及之前版本中,由于Wget在处理HTTP简写格式URL时解析不当,错误地将包含冒号(:)的用户输入解析为FTP请求,导致将原本应为HTTP请求的URL错误地解析为FTP请求。攻击者可通过控制简写URL中的用户信息部分(例如malwaredomain:aaa@reliableserver)来改变请求目标,从而将请求发送到恶意服务器,该漏洞可能导致服务器端请求伪造攻击、钓鱼攻击、MITM(中间人)攻击和数据泄露等。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻

二、影响范围

Wget <= 1.24.5

三、修复建议

目前该漏洞已经修复,受影响用户可升级到Wget 1.25.0或更高版本。