В новой версии устранены две уязвимости:
- CVE-2025-69194 - отсутствие должной проверки файловых путей при обработке контента в формате Metalink, применяемом для описания ссылок на файлы для загрузки. Используя последовательность "../" в файловых путях внутри блока ‹file name="…"›, атакующий может добиться создания, очистки или перезаписи произвольных файлов за пределами базового каталога, в который производится загрузка. Например, атакующий может перезаписать содержимое ~/.ssh/authorized_keys или ~/.bashrc и добиться выполнения своего кода в системе.
- CVE-2025-69195 - переполнение буфера в коде чистки имён файлов в функции get_local_filename_real(), потенциально способное привести к исполнению кода при обработке специально оформленных URL на загружаемых страницах или при обработке редиректов. Проблема проявляется при включении опции "--restrict-file-names=windows|unix|ascii" и вызвана выделением фиксированного 1024-байтового буфера без проверки фактического размера записываемых данных.
Из не связанных с безопасностью изменений можно отметить добавление опции "--show-progress" для индикации прогресса загрузки, использование локального времени при указании опции "--no-use-server-timestamps", поддержку префикса 'no_' в параметрах конфигурации и задействование libnghttp2 для тестирования HTTP/2.
Источник: https://www.opennet.ru/opennews/art.shtml?num=64561
(opennet.ru, мини-новости)