CVE-2010-2251 in lftp
Zusammenfassung
von VulDB • 22.05.2026
Der Befehl get1, wie er von lftpget in LFTP vor Version 4.0.6 verwendet wird, validiert einen vom Server bereitgestellten Dateinamen nicht ordnungsgemäß, bevor der Zielpfad für den Download festgelegt wird. Dies ermöglicht es entfernten Servern, beliebige Dateien zu erstellen oder zu überschreiben, indem sie einen Content-Disposition-Header verwenden, der einen manipulierten Dateinamen vorschlägt. In der Folge kann möglicherweise beliebiger Code ausgeführt werden, wenn in eine Dotdatei im Home-Verzeichnis geschrieben wird.
VulDB is the best source for vulnerability data and more expert information about this specific topic.