Hieu Solutions
Technology

CVE-2025-69194: Lỗ hổng trong GNU Wget2

January 1, 1970
26 views
CVE-2025-69194: Lỗ hổng trong GNU Wget2

CVE-2025-69194: Lỗ hổng trong GNU Wget2

devops.vn  —  03/01/2026  —  15:29

Một lỗ hổng bảo mật mức độ cao vừa được phát hiện trong GNU Wget2 (CVE-2025-69194), công cụ tải xuống dòng lệnh phổ biến, đe dọa trực tiếp đến tính toàn vẹn dữ liệu của người dùng. Sự cố này cho phép các tác nhân độc hại thực hiện hành vi ghi đè tệp tin từ xa, mở đường cho các cuộc tấn công chiếm quyền điều khiển máy tính.

CVE-2025-69194: Lỗ hổng trong GNU Wget2

Chi tiết lỗ hổng Path Traversal

Các chuyên gia vừa đưa ra cảnh báo về mã lỗi CVE-2025-69194 với điểm số CVSS lên tới 8.8, mức độ cực kỳ nghiêm trọng. Theo phân tích từ Red Hat, lỗ hổng này phát sinh từ cách thức Wget2 xử lý các tài liệu Metalink — loại tệp chứa nhiều nguồn tải xuống khác nhau cho cùng một tệp tin. Ứng dụng không kiểm soát chặt chẽ vị trí lưu trữ tệp và đã thất bại trong việc xác thực chính xác các đường dẫn tệp được liệt kê trong tài liệu này.

Đây là một lỗ hổng Path Traversal điển hình, nơi tin tặc sử dụng các ký tự điều hướng như ../ để đánh lừa công cụ thoát khỏi thư mục tải xuống an toàn và truy cập vào các khu vực nhạy cảm của hệ điều hành.

Hậu quả và nguy cơ chiếm quyền

Hệ quả của việc khai thác thành công lỗ hổng này là nghiêm trọng. Kẻ tấn công có thể buộc hệ thống ghi đè lên các tệp cấu hình hệ thống quan trọng hoặc các tài liệu cá nhân, dẫn đến mất dữ liệu vĩnh viễn hoặc làm hỏng hệ điều hành. Nguy hiểm hơn, bằng cách thay thế kịch bản chạy tự động hoặc chỉnh sửa tệp mật khẩu, tin tặc có thể cài cắm mã độc để chiếm quyền kiểm soát hoàn toàn máy tính hoặc tạo cửa sau cho việc xâm nhập lâu dài.

Khuyến cáo khắc phục

Mặc dù cuộc tấn công đòi hỏi người dùng phải chủ động tải xuống và xử lý tệp Metalink độc hại, rủi ro tiềm tàng khiến đây trở thành một vấn đề an ninh không thể xem nhẹ. Khuyến nghị:

  • Tránh tải xuống Metalink hoặc các tệp từ nguồn không tin cậy.
  • Kiểm tra và cài đặt các bản cập nhật vá mới nhất cho Wget2 ngay khi có sẵn.
  • Giám sát các hoạt động ghi tệp bất thường khi sử dụng công cụ dòng lệnh.
  • Sử dụng các biện pháp cô lập/quotas và backup để giảm thiểu tác động khi bị khai thác.

Tags: CVE-2025-69194, News, PathTraversal, Security, Wget2

💬 What do you think?

Share your thoughts or connect with me on social media!