PT-2021-20099 · Winscp · Winscp
Fabian Bräunlein
·
Publicado
2021-01-27
·
Atualizado
2021-02-04
·
CVE-2021-3331
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do WinSCP anteriores à 5.17.10
Descrição
A vulnerabilidade permite que invasores remotos executem programas arbitrários quando o manipulador de URL encontra uma URL maliciosa que carrega configurações de sessão. Isso pode ser explorado em uma instalação padrão na qual o WinSCP atua como manipulador de URLs do tipo ftp://.
Recomendações
Para versões anteriores à 5.17.10, atualize para a versão 5.17.10 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do manipulador de URL para URLs do tipo sftp:// até que um patch seja aplicado.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Winscp