O GNU Wget é uma ferramenta que permite aceder a ficheiros através do uso de protocolos mais conhecidos como HTTP, HTTPS, FTP e FTPS. É essencialmente uma ferramenta de linha de comandos que pode ser facilmente chamada através de scripts, tarefas agendadas, entre outros. Além de aceder a ficheiros, permite também fazer o mirroring da internet ou sites baseados em FTP.

O CVE-2018-20483 foi atribuido a uma falha na ferramenta que pode permitir que os utilizadores obtenham informação sensível, como credenciais no URL, através da simples leitura dos atributos.

O investigador sublinhou ainda que os URL's podem, por vezes, conter tokens privados usados para serviços externos, como por exemplo, o hosting de ficheiros. Os atributos podem ser acedidos em qualquer máquina ligada através do comando getfattr.

Versões afetadas

- Anteriores à 1.20.1

Mais informações: https://www.securityfocus.com/bid/106358/discuss