CVE-2010-2251 in lftp
Sumário
de VulDB • 22/05/2026
O comando get1, conforme utilizado por lftpget no LFTP anterior à versão 4.0.6, não valida adequadamente um nome de arquivo fornecido pelo servidor antes de determinar o nome de arquivo de destino do download, o que permite que servidores remotos criem ou sobrescrevam arquivos arbitrários por meio de um cabeçalho Content-Disposition que sugere um nome de arquivo manipulado, e possivelmente executem código arbitrário como consequência da escrita em um dotfile em um diretório home.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.