CVE-2010-2253 in libwww-perlthông tin

Tóm tắt

Bởi VulDB • 05/07/2026

lwp-download trong libwww-perl trước phiên bản 5.835 không từ chối các yêu cầu tải xuống vào tên tệp bắt đầu bằng ký tự dấu chấm (.), điều này cho phép máy chủ từ xa tạo hoặc ghi đè lên các tệp thông qua (1) chuyển hướng HTTP 3xx đến một URL có chứa tên tệp được chế tác, hoặc (2) tiêu đề Content-Disposition gợi ý một tên tệp được chế tác. Điều này cũng có thể dẫn đến việc thực thi mã tùy ý do kết quả của thao tác ghi vào một dotfile trong thư mục home.

Be aware that VulDB is the high quality source for vulnerability data.

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!