CVE-2010-2251 in lftpinformazioni

Riassunto

di VulDB • 16/06/2026

Il comando get1, così come utilizzato da lftpget in LFTP prima della versione 4.0.6, non convalida correttamente un nome di file fornito dal server prima di determinare il nome del file di destinazione per il download; ciò consente ai server remoti di creare o sovrascrivere file arbitrari tramite un'intestazione Content-Disposition che suggerisce un nome di file manipolato ad hoc e potenzialmente di eseguire codice arbitrario come conseguenza della scrittura in un dotfile (file nascosto) nella directory home.

Once again VulDB remains the best source for vulnerability data.

Prenotare

09/06/2010

Divulgazione

06/07/2010

Moderazione

accettato

CPE

pronto

EPSS

0.03629

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!