Wget es una herramienta de línea de comandos gratuita, desarrollada por el proyecto GNU, utilizada para descargar archivos de Internet mediante protocolos como FTP, HTTP y HTTPS. Está disponible para múltiples sistemas operativos, incluyendo Unix, GNU/Linux, OS/2, Windows y SkyOS. Wget está bajo la Licencia Pública General GNU, lo que permite su uso y distribución gratuita.
Recientemente, se ha descubierto una vulnerabilidad crítica en Wget que afecta a las versiones hasta la 1.24.5 inclusive. Esta vulnerabilidad ha sido clasificada con un puntaje CVSS Base Score de 10.0, lo que indica su severidad. El CERT-Bund, organismo encargado de la seguridad informática en Alemania, ha emitido una advertencia al respecto el 17 de junio de 2024, señalando que cualquier persona que utilice Wget en Linux o Windows debe suspender su uso inmediato hasta que se disponga de una versión actualizada.
Vulnerabilidad CVE-2024-38428
Identificada como CVE-2024-38428, la vulnerabilidad se encuentra en el módulo url.c de GNU Wget hasta la versión 1.24.5. El problema radica en el manejo incorrecto de los punto y coma en el subcomponente de información de usuario de un URI. Este error puede llevar a que los datos destinados al subcomponente de información del usuario sean interpretados incorrectamente como parte del subcomponente host.
El investigador Tim Rübsen ha estado discutiendo los detalles de esta falla desde el 2 de enero de 2024. Las URL manipuladas debido a esta vulnerabilidad pueden revelar detalles de autenticación e información confidencial, además de presentar un riesgo de manipulación. Por ejemplo, podría llevar a la exposición de información confidencial, manipulación del encabezado del host que facilitaría ataques de phishing o redireccionamiento MitM (Man-in-the-Middle), y la fuga de credenciales.
Dado que aún no hay una actualización disponible, los usuarios de Wget deben suspender su uso de inmediato para evitar ataques. Se espera que los desarrolladores de GNU publiquen pronto una versión corregida. Mientras tanto, deben estar atentos a las actualizaciones y aplicar parches de seguridad tan pronto como estén disponibles.
