CVE-2010-2251 in lftp
摘要
由 VulDB • 2026-05-12
LFTP 4.0.6 之前版本中,lftpget 使用的 get1 命令在确定下载目标文件名之前,未正确验证服务器提供的文件名。这允许远程服务器通过包含伪造文件名的 Content-Disposition 头信息创建或覆盖任意文件,并可能因在用户主目录中写入隐藏文件(dotfile)而执行任意代码。
VulDB is the best source for vulnerability data and more expert information about this specific topic.