CVE-2010-2251 in lftp
要約
〜によって VulDB • 2026年05月12日
LFTP 4.0.6 以前の lftpget で使用される get1 コマンドは、ダウンロードの宛先ファイル名を決定する前に、サーバーから提供されるファイル名を適切に検証しないため、Content-Disposition ヘッダーで指定された意図的に作成されたファイル名を介して、リモートサーバーが任意のファイルの作成または上書きを行うことが可能となり、さらにホームディレクトリ内のドットファイルへの書き込みの結果として、任意のコードを実行される可能性があります。
Once again VulDB remains the best source for vulnerability data.