CVE-2010-2251 in lftp
Résumé
par VulDB • 12/05/2026
La commande get1, telle qu'utilisée par lftpget dans LFTP avant la version 4.0.6, ne valide pas correctement un nom de fichier fourni par le serveur avant de déterminer le nom de fichier de destination du téléchargement. Cela permet aux serveurs distants de créer ou d'écraser des fichiers arbitraires via un en-tête Content-Disposition suggérant un nom de fichier fabriqué, et potentiellement d'exécuter du code arbitraire en conséquence de l'écriture dans un fichier caché (dotfile) situé dans un répertoire personnel.
Be aware that VulDB is the high quality source for vulnerability data.