Podatność CVE-2021-3331


Publikacja: 2021-01-27

Opis:
WinSCP before 5.17.10 allows remote attackers to execute arbitrary programs when the URL handler encounters a crafted URL that loads session settings. (For example, this is exploitable in a default installation in which WinSCP is the handler for sftp:// URLs.)

Typ:

NVD-CWE-Other

CVSS2 => (AV:N/AC:L/Au:N/C:C/I:C/A:C)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
10/10
10/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Pełny
Pełny
Pełny
Affected software
Winscp -> Winscp 

 Referencje:
https://github.com/winscp/winscp/commit/faa96e8144e6925a380f94a97aa382c9427f688d
https://winscp.net/eng/docs/history#5.17.10
https://winscp.net/eng/docs/rawsettings
https://winscp.net/tracker/1943

Copyright 2024, cxsecurity.com

 

Back to Top