Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 30/10/2014
Angribere kan oprette filer og mapper på et offers computer, hvis offeret bruger Wget til at hente filer fra angriberens FTP-server. Hullet er lukket i Wget 1.16.Wget er et kommandolinjeværktøj til at hente indhold fra websteder og FTP-servere. Det har en sårbarhed, når det bruges mod en FTP-server i såkaldt rekursiv modus.
Fejlen medfører, at serveren kan oprette et lokalt symbolsk link til en mappe. Derefter kan den overføre filer til mappen. Eksisterende filer kan blive overskrevet.
Der er udviklet et modul til Metasploit, der udnytter sårbarheden.
Anbefaling
Opdater til Wget 1.16.