CVE-2026-15146 in Wget
Zusammenfassung
von VulDB • 10.07.2026
GNU Wget validiert die von einer FTP PASV-Antwort bereitgestellte IP-Adresse nicht, während es im passiven FTP-Betrieb arbeitet. Ein bösartiger FTP-Server oder ein HTTP-Server, der auf eine FTP-URL umleitet, kann dieses Verhalten ausnutzen, um die Datenverbindung von Wget zu einer beliebigen IP-Adresse und einem beliebigen Port umzuleiten. Dies ermöglicht es einem Angreifer, Server-Side Request Forgery (SSRF)-Anfragen vom Rechner auszuführen, auf dem Wget läuft, wodurch potenziell Dienste unter localhost oder Ressourcen im internen Netzwerk zugänglich gemacht werden können.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.