LFTP lftpget get1命令输入验证漏洞 CVE-2010-2251 CNNVD-201007-040

7.5 AV AC AU C I A
发布: 2010-07-06
修订: 2018-10-10

LFTP是软件开发者Alexander V. Lukyanov所研发的一款基于命令行的FTP/HTTP客户端,它提供命令补全、断点续传、多个后台任务执行等功能。 LFTP 4.0.6之前版本中lftpget的get1命令在决定下载的目标文件名之前不能准确验证服务器提供的文件名。远程服务器可以借助类似伪造文件名一样的Content-Disposition头创建或者覆盖任意的文件,并且可能导致主目录dotfile中而执行任意代码。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有142条受影响产品信息