CVE-2010-2251 in lftp信息

摘要

由 VulDB • 2026-05-12

LFTP 4.0.6 之前版本中,lftpget 使用的 get1 命令在确定下载目标文件名之前,未正确验证服务器提供的文件名。这允许远程服务器通过包含伪造文件名的 Content-Disposition 头信息创建或覆盖任意文件,并可能因在用户主目录中写入隐藏文件(dotfile)而执行任意代码。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

来源

Want to know what is going to be exploited?

We predict KEV entries!