【漏洞通告】Wget服务器端请求伪造漏洞（CVE-2024-10524）

文章预览

一、漏洞 概述 漏洞名称    Wget服务器端请求伪造漏洞 CVE   ID CVE-2024-10524 漏洞类型 解析不当 发现时间 2024-11-20 漏洞评分 6.5 漏洞等级 中危 攻击向量 网络 所需权限 无 利用难度 高 用户交互 无 PoC/EXP 未公开 在野利用 未发现 GNU Wget 是一个广泛使用的开源命令行工具，主要用于从网络上下载文件。它由GNU 项目开发，支持 HTTP、HTTPS 和 FTP 协议，因此可以用于从各种类型的网络服务器获取文件。 2024年11月20日，启明星辰集团VSRC监测到Wget中存在一个解析不当导致的服务器端请求伪造漏洞（CVE-2024-10524），该漏洞的CVSS评分为6.5，目前该漏洞的技术细节已公开。 Wget 1.24.5及之前版本中，由于Wget在处理HTTP简写格式URL时解析不当，错误地将包含冒号（:）的用户输入解析为FTP请求，导致将原本应为HTTP请求的URL错误地解析为FTP请求。攻击者可通过控制简写URL中 ………………………………