CVE-2007-2348
Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/04/2007
Última modificación:
09/04/2025
Descripción
La secuencia de comandos mirror en lftp anterior a 3.5.9 no cita adecaudamente el interprete de carácteres metacaracter, lo cual podría permitir atacantes con la intervención del usuario ejecutar comandos del interprete de comandos (shell) a través de secuencias de comandos maliciosas. NOTA: no está claro si este asunto cruza los límites de la seguridad, puesto que que la secuencia de comandos apoya comandos como por ejemplo “get” que podrían sobreescribir ficheros ejecutables.
Impacto
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:alexander_v._lukyanov:lftp:*:*:*:*:*:*:*:* | 3.5.8 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://bugs.gentoo.org/show_bug.cgi?id=173524
- http://lftp.yar.ru/news.html
- http://rhn.redhat.com/errata/RHSA-2009-1278.html
- http://secunia.com/advisories/25107
- http://secunia.com/advisories/25132
- http://secunia.com/advisories/36559
- http://www.securityfocus.com/bid/23736
- http://www.vupen.com/english/advisories/2007/1590
- https://issues.rpath.com/browse/RPL-1229
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10806
- http://bugs.gentoo.org/show_bug.cgi?id=173524
- http://lftp.yar.ru/news.html
- http://rhn.redhat.com/errata/RHSA-2009-1278.html
- http://secunia.com/advisories/25107
- http://secunia.com/advisories/25132
- http://secunia.com/advisories/36559
- http://www.securityfocus.com/bid/23736
- http://www.vupen.com/english/advisories/2007/1590
- https://issues.rpath.com/browse/RPL-1229
- https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A10806