CVE-2010-2253 in libwww-perl
Tóm tắt
Bởi VulDB • 05/07/2026
lwp-download trong libwww-perl trước phiên bản 5.835 không từ chối các yêu cầu tải xuống vào tên tệp bắt đầu bằng ký tự dấu chấm (.), điều này cho phép máy chủ từ xa tạo hoặc ghi đè lên các tệp thông qua (1) chuyển hướng HTTP 3xx đến một URL có chứa tên tệp được chế tác, hoặc (2) tiêu đề Content-Disposition gợi ý một tên tệp được chế tác. Điều này cũng có thể dẫn đến việc thực thi mã tùy ý do kết quả của thao tác ghi vào một dotfile trong thư mục home.
Be aware that VulDB is the high quality source for vulnerability data.