Search.Cpan Libwww-perl lwp-download输入验证漏洞 CVE-2010-2253 CNNVD-201007-042
6.8
AV
AC
AU
C
I
A
发布:
2010-07-06
修订:
2018-10-30
Libwww 是一个高度模组化用户端的网页存取API ,用C语言写成,可在 Unix 和 Windows 上运行。 在libwww-perl 5.835之前的版本中的lwp-download不能拒绝以 .(点)字符开头文件名的下载,远程服务器可以借助(1)3xx重定向到含有伪造文件名的URL或者(2)类似伪造文件名一样的Content-Disposition头来创建或者覆盖文件,并且可能由于将此写入主目录dotfile中而执行任意代码。
漏洞利用/PoC
暂无可用Exp或PoC
受影响的平台与产品
当前有122条受影响产品信息
