Уязвимость некорректной проверки отправляемых сервером файлов в реализации SCP в WinSCP, приводящая к перезаписи данных
Описание
В WinSCP до версии 5.14 beta выявлена уязвимость из-за отсутствия проверки, что позволяет злоумышленнику отправлять произвольные файлы, которые могут перезаписывать несвязанные файлы. Эта проблема связана с TSCPFileSystem::SCPSink в файле core/ScpFileSystem.cpp.
Затронутые версии ПО
- WinSCP до версии 5.14 beta
Тип уязвимости
Перезапись данных
Ссылки
- Third Party AdvisoryVDB Entry
- PatchThird Party Advisory
- MitigationThird Party Advisory
- Release NotesVendor Advisory
- PatchVendor Advisory
- Third Party AdvisoryVDB Entry
- PatchThird Party Advisory
- MitigationThird Party Advisory
- Release NotesVendor Advisory
- PatchVendor Advisory
Уязвимые конфигурации
EPSS
7.5 High
CVSS3
6.4 Medium
CVSS2
Дефекты
Связанные уязвимости
In WinSCP before 5.14 beta, due to missing validation, the scp implementation would accept arbitrary files sent by the server, potentially overwriting unrelated files. This affects TSCPFileSystem::SCPSink in core/ScpFileSystem.cpp.
Уязвимость компонента Operating System Image системы хранения данных Sun ZFS Storage Appliance Kit (AK), позволяющая нарушителю получить полный контроль над приложением
EPSS
7.5 High
CVSS3
6.4 Medium
CVSS2