支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:752

75.2%
立即捐款
一、 漏洞 CVE-2025-69194 基础信息
漏洞信息
                                        # Wget2 金属链接路径遍历文件写入漏洞

## 概述
GNU Wget2 在处理 Metalink 文档时存在安全问题,由于未正确验证 `<file name>` 元素中的文件路径,可能导致路径遍历攻击。

## 影响版本
未明确指定具体版本,需关注 GNU Wget2 在修复此漏洞前的版本。

## 细节
Wget2 未对 Metalink 文件中 `<file name>` 元素指定的路径进行安全校验,攻击者可利用此缺陷构造恶意路径(如包含 `../` 的路径),使下载文件被写入系统任意目录。

## 影响
攻击者可利用该漏洞将文件写入非预期位置,可能导致敏感文件被覆盖或删除(数据丢失),或通过写入恶意文件进一步危害用户环境。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Wget2: arbitrary file write via metalink path traversal in gnu wget2
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A security issue was discovered in GNU Wget2 when handling Metalink documents. The application fails to properly validate file paths provided in Metalink <file name> elements. An attacker can abuse this behavior to write files to unintended locations on the system. This can lead to data loss or potentially allow further compromise of the user’s environment.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
GNU Wget2 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
GNU Wget2是美国GNU社区的一个网络下载工具。 GNU Wget2存在安全漏洞,该漏洞源于未能正确验证Metalink文件名元素中的文件路径,可能导致文件写入到意外位置。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-69194 的公开POC
#POC 描述源链接神龙链接
1PoC for CVE-2025-69194, a Path Traversal vulnerability in GNU Wget2 <= 2.2.0. This vulnerability allows attackers to achieve arbitrary file write or overwrite on the victim's filesystem by providing a malicious Metalink file with manipulated file name attributes.https://github.com/secdongle/POC_CVE-2025-69194POC详情
三、漏洞 CVE-2025-69194 的情报信息
  • https://access.redhat.com/security/cve/CVE-2025-69194vdb-entryx_refsource_REDHAT

  • 标题: 2425773 – (CVE-2025-69194) CVE-2025-69194 wget2: Arbitrary File Write via Metalink Path Traversal in GNU Wget2 -- 🔗来源链接

    标签:issue-trackingx_refsource_REDHAT

    神龙速读:
                                            ### 关键漏洞信息

- **漏洞ID**: Bug 2425773 (CVE-2025-69194)
- **漏洞名称**: Arbitrary File Write via Metalink Path Traversal in GNU Wget2
- **报告日期**: 2025-12-29 14:15 UTC
- **优先级**: high
- **严重性**: high
- **影响产品及组件**: Security Response / vulnerability
- **操作系统**: Linux

### 漏洞描述

- **描述**: GNU Wget2在处理Metalink v3/v4文件时存在路径遍历漏洞。当Wget2信任攻击者提供的`<file name>`值且未进行适当处理时,攻击者可利用此漏洞创建、截断或覆盖目标用户写权限文件,从而导致数据丢失或通过重写可执行配置或启动文件的潜在代码执行。
- **可利用性**: 可远程利用,无需身份验证
    2425773 – (CVE-2025-69194) CVE-2025-69194 wget2: Arbitrary File Write via Metalink Path Traversal in GNU Wget2
  • https://nvd.nist.gov/vuln/detail/CVE-2025-69194
四、漏洞 CVE-2025-69194 的评论

暂无评论

发表评论