Popüler#YapayZeka#SiberGüvenlik#ChatGPT#OpenAI#Gemini#Apple#iPhone#Android#Samsung#FidyeYazılımı#Veriİhlali#NVIDIA
Zafiyetler & CVEKRİTİK

GNU Wget'te SSRF Zafiyeti

3 saat önce1 dk okuma6 okunma

GNU Wget, 1.25.0 ve önceki sürümlerde, FTP pasif modunda bir sunucu tarafı istek sahteciliği (SSRF) zafiyeti içeriyor. Wget, PASV yanıtlarından alınan IP adreslerini düzgün bir şekilde doğrulamadığından, bir saldırgan tarafından kontrol edilen bir FTP uç noktası, istemcinin bağlantısını IP adreslerine yönlendirebiliyor. Bu, potansiyel olarak dahili ağ ana bilgisayar ve hizmet yanıtlarının ortaya çıkmasına neden olabiliyor. Bu zafiyet, GNU tarafından yapılan bir güncelleme ile giderildi.

GNU Wget, HTTP, HTTPS ve FTP üzerinden içerik alma için yaygın olarak kullanılan bir komut satırı aracıdır. FTP pasif modunda çalışırken, Wget veri bağlantısı için hangi IP adresini ve portu kullanacağını belirlemek için sunucunun PASV yanıtına güveniyor. CVE-2026-15146 numaralı bu zafiyet, bir saldırganın Wget'i dahili ağ adreslerine bağlanmaya zorlayabilmesine olanak tanıyor. Bu, yerel ana bilgisayar hizmetlerine erişimi veya dahili ağ kaynaklarına erişimi mümkün kılıyor.

Uzak bir saldırgan, bir FTP uç noktasını kontrol ederek veya etkileyerek, Wget'i otherwise erişilemeyen dahili ağ adreslerine bağlanmaya zorlayabiliyor. Bu, saldırganın hizmet banner'larını almasına, dahili HTTP uç noktalarına erişmesine veya dahili sistemlerden veri çıkarmasına olanak tanıyor. Wget'i otomatik alma için entegre eden uygulamalar, özellikle bu zafiyete karşı savunmasızlar, çünkü zafiyet, yönlendirilen isteklerle ve güvenilmeyen kullanıcı tarafından sağlanan URL'lerle otomatik olarak tetiklenebiliyor.

GNU Wget, bu sorunu 07/05/2026 tarihli 4f85853f641863d5915786a8413e1 commit'inde giderdi.

Kaynak: CERT/CC