LFTP lftpget get1命令输入验证漏洞

CNNVD-ID编号 CNNVD-201007-040
CVE编号 CVE-2010-2251
发布时间 2010-07-08
更新时间 2010-07-22
漏洞类型 输入验证
漏洞来源 N/A
危险等级 高危
威胁类型 远程
厂 商 alexander_v._lukyanov

漏洞介绍

LFTP是软件开发者Alexander V. Lukyanov所研发的一款基于命令行的FTP/HTTP客户端,它提供命令补全、断点续传、多个后台任务执行等功能。

LFTP 4.0.6之前版本中lftpget的get1命令在决定下载的目标文件名之前不能准确验证服务器提供的文件名。远程服务器可以借助类似伪造文件名一样的Content-Disposition头创建或者覆盖任意的文件,并且可能导致主目录dotfile中而执行任意代码。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

参考网址

受影响实体

信息来源