CVE-2010-2253

Published: 06/07/2010 Updated: 30/10/2018

CVSS v2 Base Score: 6.8 | Impact Score: 6.4 | Exploitability Score: 8.6

VMScore: 605

Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

lwp-download in libwww-perl prior to 5.835 does not reject downloads to filenames that begin with a . (dot) character, which allows remote servers to create or overwrite files via (1) a 3xx redirect to a URL with a crafted filename or (2) a Content-Disposition header that suggests a crafted filename, and possibly execute arbitrary code as a consequence of writing to a dotfile in a home directory.

Vulnerable Product	Search on Vulmon	Subscribe to Product
search.cpan libwww-perl 5.40 01
search.cpan libwww-perl
gisle aas libwww-perl 5.828
gisle aas libwww-perl 5.827
gisle aas libwww-perl 5.826
gisle aas libwww-perl 5.825
gisle aas libwww-perl 5.811
gisle aas libwww-perl 5.810
gisle aas libwww-perl 5.808
gisle aas libwww-perl 5.807
gisle aas libwww-perl 5.74
gisle aas libwww-perl 5.73
gisle aas libwww-perl 5.72
gisle aas libwww-perl 5.71
gisle aas libwww-perl 5.53 92
gisle aas libwww-perl 5.53 91
gisle aas libwww-perl 5.53 90
gisle aas libwww-perl 5.53
gisle aas libwww-perl 5.52
gisle aas libwww-perl 5.36
gisle aas libwww-perl 5.35
gisle aas libwww-perl 5.34
gisle aas libwww-perl 5.33
gisle aas libwww-perl 5.15
gisle aas libwww-perl 5.14
gisle aas libwww-perl 5.13
gisle aas libwww-perl 5.12
gisle aas libwww-perl 5b12
gisle aas libwww-perl 5b11
gisle aas libwww-perl 5b10
gisle aas libwww-perl 5b9
gisle aas libwww-perl 5.833
gisle aas libwww-perl 5.820
gisle aas libwww-perl 5.819
gisle aas libwww-perl 5.818
gisle aas libwww-perl 5.817
gisle aas libwww-perl 5.802
gisle aas libwww-perl 5.801
gisle aas libwww-perl 5.800
gisle aas libwww-perl 5.79
gisle aas libwww-perl 5.65
gisle aas libwww-perl 5.64
gisle aas libwww-perl 5.63
gisle aas libwww-perl 5.62
gisle aas libwww-perl 5.53 97
gisle aas libwww-perl 5.47
gisle aas libwww-perl 5.46
gisle aas libwww-perl 5.45
gisle aas libwww-perl 5.44
gisle aas libwww-perl 5.20
gisle aas libwww-perl 5.19
gisle aas libwww-perl 5.18 05
gisle aas libwww-perl 5.18 04
gisle aas libwww-perl 5.07
gisle aas libwww-perl 5.06
gisle aas libwww-perl 5.05
gisle aas libwww-perl 5.04
gisle aas libwww-perl 0.04
gisle aas libwww-perl 0.03
gisle aas libwww-perl 0.02
gisle aas libwww-perl 0.01
gisle aas libwww-perl 5.831
gisle aas libwww-perl 5.829
gisle aas libwww-perl 5.824
gisle aas libwww-perl 5.822
gisle aas libwww-perl 5.815
gisle aas libwww-perl 5.813
gisle aas libwww-perl 5.805
gisle aas libwww-perl 5.803
gisle aas libwww-perl 5.78
gisle aas libwww-perl 5.76
gisle aas libwww-perl 5.69
gisle aas libwww-perl 5.67
gisle aas libwww-perl 5.60
gisle aas libwww-perl 5.53 96
gisle aas libwww-perl 5.53 94
gisle aas libwww-perl 5.51
gisle aas libwww-perl 5.49
gisle aas libwww-perl 5.42
gisle aas libwww-perl 5.32
gisle aas libwww-perl 5.30
gisle aas libwww-perl 5.21
gisle aas libwww-perl 5.18 03
gisle aas libwww-perl 5.17
gisle aas libwww-perl 5.10
gisle aas libwww-perl 5.08
gisle aas libwww-perl 5.03
gisle aas libwww-perl 5.01
gisle aas libwww-perl 5b13
gisle aas libwww-perl 5b8
gisle aas libwww-perl 5b6
gisle aas libwww-perl 5.832
gisle aas libwww-perl 5.830
gisle aas libwww-perl 5.823
gisle aas libwww-perl 5.821
gisle aas libwww-perl 5.816
gisle aas libwww-perl 5.814
gisle aas libwww-perl 5.812
gisle aas libwww-perl 5.806
gisle aas libwww-perl 5.804
gisle aas libwww-perl 5.77
gisle aas libwww-perl 5.75
gisle aas libwww-perl 5.70
gisle aas libwww-perl 5.68
gisle aas libwww-perl 5.66
gisle aas libwww-perl 5.61
gisle aas libwww-perl 5.53 95
gisle aas libwww-perl 5.53 93
gisle aas libwww-perl 5.50
gisle aas libwww-perl 5.48
gisle aas libwww-perl 5.43
gisle aas libwww-perl 5.41
gisle aas libwww-perl 5.31
gisle aas libwww-perl 5.22
gisle aas libwww-perl 5.18
gisle aas libwww-perl 5.16
gisle aas libwww-perl 5.11
gisle aas libwww-perl 5.09
gisle aas libwww-perl 5.02
gisle aas libwww-perl 5.00
gisle aas libwww-perl 5b7
gisle aas libwww-perl 5b5

It was discovered that libwww-perl incorrectly filtered filenames suggested by Content-Disposition headers If a user were tricked into downloading a file from a malicious site, a remote attacker could overwrite hidden files in the user’s directory ...

CWE-20 http://cpansearch.perl.org/src/GAAS/libwww-perl-5.836/Changes http://www.ocert.org/advisories/ocert-2010-001.html https://bugzilla.redhat.com/show_bug.cgi?id=591580 https://bugzilla.redhat.com/show_bug.cgi?id=602800 http://marc.info/?l=oss-security&m=127411372529485&w=2 http://marc.info/?l=oss-security&m=127611288927500&w=2 http://www.ubuntu.com/usn/USN-981-1 http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050232.html http://www.vupen.com/english/advisories/2010/2872 http://lists.fedoraproject.org/pipermail/package-announce/2010-November/050245.html https://nvd.nist.gov https://usn.ubuntu.com/981-1/

Get Started

CVE-2010-2253

Vulnerability Summary

Vulnerability Trend

Vendor Advisories

References

Vulmon Search

About

Products

Connect