Vulnerabilidade crítica em GNU Wget2 permite sobrescrever arquivos | Riscos e Ameaças

CVE-2025-69194 no GNU Wget2 permite que Metalinks manipulados causem path traversal e sobrescrevam arquivos arbitrários (CVSS 8.8). A exploração exige processamento do Metalink; Red Hat classificou como Important. Recomendações: evitar Metalinks não confiáveis, monitorar patches e minimizar privilégios.

Introdução

Foi divulgada uma falha crítica no GNU Wget2 que permite a atacantes remotos sobrescrever arquivos arbitrários ao processar documentos Metalink. A vulnerabilidade está registrada como CVE-2025-69194 e tem impacto significativo em ambientes que usam o utilitário para baixar conteúdos a partir de Metalinks.

Descrição e escopo

Relatos públicos indicam que a falha decorre da validação inadequada de caminhos de arquivo contidos em documentos Metalink. Segundo a matéria, CVE-2025-69194 possibilita que entradas manipuladas com sequências de path traversal forçem o Wget2 a escrever em localizações arbitrárias do sistema de arquivos, limitadas apenas pelas permissões do usuário que executa o processo.

Vetor e consequências técnicas

O vetor de exploração documentado exige que o usuário baixe e processe um Metalink malicioso. Quando isso ocorre, o Wget2 não sanitiza corretamente os caminhos presentes no metadado, possibilitando:

Sobrescrição de arquivos críticos do sistema;
Modificação de bibliotecas ou binários que possam levar a execução de código;
Cópia de arquivos sensíveis para locais acessíveis, permitindo exfiltração indireta;
Negação de serviço por corrupção ou remoção de arquivos essenciais.

Classificação e evidências

O problema foi atribuído à categoria CWE-22 (Path Traversal) e recebeu, conforme a fonte, um CVSS 8.8 (gravidade Alta/Crítica). A Red Hat classificou a vulnerabilidade como de importância (“Important”), conforme citado na reportagem.

Mitigações e recomendações

A reportagem destaca medidas imediatas e práticas de mitigação enquanto correções são disponibilizadas:

Evitar processar arquivos Metalink de fontes não confiáveis;
Monitorar updates oficiais do projeto GNU Wget2 e aplicar patches assim que publicados;
Implementar controles em nível de rede para restringir downloads automatizados de Metalink não validados;
Avaliar o uso de contas com privilégios mínimos ao executar utilitários de download para reduzir superfície de ataque.

Evidências e lacunas

A matéria informa o rastreamento pelo identificador CVE-2025-69194 e descreve comportamento de exploração, mas não fornece amostras públicas de exploração ativa nem indica amplo abuso observado em massa. A fonte afirma que a exploração requer interação do usuário (processamento do Metalink) — não há, na cobertura, menção a campanhas em larga escala verificadas até o momento.

Impacto para equipes de segurança

Para equipes de resposta e operação, a combinação de CVSS 8.8 e a capacidade de sobrescrita localiza esta falha como um risco com potencial para comprometer integridade do host. Recomenda-se priorizar identificação de sistemas que processam Metalinks automaticamente (pipelines CI/CD, servidores de build e ferramentas de entrega) e aplicar controles compensatórios até a correção oficial.

Fonte: Cyber Security News (reportagem técnica com detalhes do CVE e recomendações).

O que falta: a cobertura não traz indicativos de exploração em produção ou PoC públicos verificáveis. Sem essas evidências, organizações devem tratar o erro como de alta prioridade técnica, mas calibrar respostas operacionais conforme exposição real.