Descripción
Una vulnerabilidad clasificada como crítica fue encontrada en WinSCP hasta 5.17.9. Una función desconocida del componente URL Handler es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase escalada de privilegios. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad.
La vulnerabilidad es identificada como CVE-2021-3331. Resulta fácil de explotar. El ataque se puede hacer desde la red. La explotación no necesita ninguna autentificación específica. No se conoce los detalles técnicos ni hay ningún exploit disponible.
Recursos afectados
- WinSCP versión 5.17.9 y anteriores
Solución
Una actualización a la versión 5.17.10 elimina esta vulnerabilidad. Aplicando un parche es posible eliminar el problema. El parche puede ser descargado desde:
Aunque el modo más recomendable para mitigar el problema es actualizar a la última versión.
