关于Wget服务器端请求伪造漏洞（CVE-2024-10524）的预警提示

发布时间：2024-11-25浏览次数：10

一、漏洞详情 GNU Wget是一个广泛使用的开源命令行工具，主要用于从网络上下载文件。 近日，监测到Wget中存在一个解析不当导致的服务器端请求伪造漏洞（CVE-2024-10524）。Wget 1.24.5及之前版本中，由于Wget在处理HTTP简写格式URL时解析不当，错误地将包含冒号（:）的用户输入解析为FTP请求，导致将原本应为HTTP请求的URL错误地解析为FTP请求。攻击者可通过控制简写URL中的用户信息部分（例如malwaredomain:aaa@reliableserver）来改变请求目标，从而将请求发送到恶意服务器，该漏洞可能导致服务器端请求伪造攻击、钓鱼攻击、MITM（中间人）攻击和数据泄露等。 建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻 二、影响范围 Wget <= 1.24.5 三、修复建议 目前该漏洞已经修复，受影响用户可升级到Wget 1.25.0或更高版本。