不过，事隔2天，CERT-Bund下修CVE-2024-38428的CVSS分数为6.3，列为中等风险漏洞，但为何大幅调整风险评分，他们并未进一步说明。

值得留意的是，目前最新的版本，是今年3月发布的1.24.5版，因此Günter Born认为，这项弱点有可能影响相当广泛，有待各Linux开发商着手修补。

这项漏洞发生的原因，在于Wget模块url.c处理URI的子组件userinfo当中的分号出错，而有可能导致在userinfo里的数据被错误解读成主机子组件的一部分，若有人使用特制的URL，就有可能让身分验证数据、主机标头信息，以及帐密数据泄露的情况，甚至部分数据攻击者可进一步用于网络钓鱼和中间人攻击（MitM）。

根据GNU基金会的漏洞讨论区，开发人员Tim Rühsen表示，他们正在努力修补相关代码缓解漏洞，但也强调，Wget 1.x版实作的URL解析器，是依据1998年的标准RFC 2396打造，所以导致这样的错误，然而基于兼容性的考量，开发团队不会更换此解析器采用的标准。

这名开发人员也指出，GNU已开发Wget2新版，有些Linux版本开始改用新版取代1.x，例如：Fedora开发团队于40版导入Wget2。