ファイル取得ツール「GNU Wget2」に脆弱性 原因はMetalinkパス検証の不備：セキュリティニュースアラート

Red Hatは、GNU Wget2の脆弱性情報を公開した。特定条件下で想定外のファイル操作が生じ得る。攻撃者は内容閲覧や改変によって認証回避や停止を招く可能性がある。

[後藤大地，ITmedia]

　Red Hatは2025年12月29日（現地時間）、ファイル取得ツール「GNU Wget2」の脆弱（ぜいじゃく）性（CVE-2025-69194）に関する情報を自社のCVEデータベースで公表した。

　同脆弱性はRed Hat製ソフトウェアには影響しないことが確認されているが情報共有を目的として掲載された。内容は、Metalinkファイルの処理におけるパス検証の不備によって任意の場所にファイルを書き込まれるというもので、環境によっては動作や安全性に影響を及ぼす可能性がある。

想定外のファイル改変が招く影響、内容閲覧による情報露出の可能性

　同脆弱性の完全性への影響として、攻撃者が本来アクセス不可であるはずのファイルを上書きや削除、改変する事態が想定されている。実行形式のプログラムや共有ライブラリー、設定情報などが対象となると、製品機能の維持が困難になる他、認証関連の情報が含まれる場合、利用環境全体に支障が及ぶ可能性がある。

　機密性保護の観点からは、サイバー攻撃者に想定外のファイル内容を読み取られるリスクが考えられる。保存された認証情報や内部設定が露出した場合、追加的な侵害行為に発展する余地がある。特に読み取られた情報を基にした解析や推測により、不正な操作が成立するリスクがある。

　可用性への影響としては、ファイル破損や削除によるサービス停止が挙げられている。製品が起動不能となる、または継続的な処理が妨げられる状況が発生し得る。防御機構が影響を受けた場合、正規利用者が利用不能となる事態も想定されている。