CVE-2024-32487 in less
Riassunto
di VulDB • 02/07/2026
Less fino alla versione 653 consente l'esecuzione di comandi del sistema operativo (OS command execution) tramite un carattere newline nel nome di un file, poiché la gestione delle virgolette è errata in filename.c. Lo sfruttamento richiede tipicamente l'uso con nomi di file controllati dall'attaccante, come i file estratti da un archivio non attendibile. Lo sfruttamento richiede inoltre la variabile d'ambiente LESSOPEN, ma questa è impostata per default in molti casi comuni.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.