{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"La version 4.0.3 de WinSCP ainsi que celles ant\u00e9rieures.","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans l'outil de transfert de donn\u00e9es\nWinSCP. L'installation de l'application sp\u00e9cifie au syst\u00e8me\nd'exploitation les protocoles qu'il peut manipuler : scp:// et sftp://.\nUne personne malveillante qui contr\u00f4lerait un serveur FTP peut forcer sa\nvictime \u00e0 effectuer des transferts de donn\u00e9es par une adresse construite\n\u00e0 partir de ces protocoles. Il peut s'agir d'un lien ajout\u00e9 dans le\nchamp IFRAME d'une page par exemple. Le transfert peut \u00eatre dans les\ndeux sens : chargement ou r\u00e9cup\u00e9ration de donn\u00e9es sur le poste ayant une\nversion de WinSCP vuln\u00e9rable.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 et installer la version 4.0.4 de\nWinSCP disponible sur le site du projet (cf. section Documentation).\n","cves":[{"name":"CVE-2007-4909","url":"https://www.cve.org/CVERecord?id=CVE-2007-4909"}],"links":[{"title":"Version 4.0.4 disponible sur le site du projet WinSCP :","url":"http://winscp.net/eng/download.php"},{"title":"Documentation en fran\u00e7ais de WinSCP :","url":"http://winscp.net/eng/docs/lang:fr"}],"reference":"CERTA-2007-AVI-408","revisions":[{"description":"version initiale.","revision_date":"2007-09-19T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 la confidentialit\u00e9, l'int\u00e9grit\u00e9 et la disponibilit\u00e9 des donn\u00e9es"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Une vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 identifi\u00e9e dans l'outil de transfert de donn\u00e9es\nWinSCP. L'exploitation de cette derni\u00e8re permettrait \u00e0 une personne\ndistante d'effectuer de forcer des transactions ill\u00e9gitimes \u00e0 un\nutilisateur ayant une version de WinSCP vuln\u00e9rable.\n","title":"Vuln\u00e9rabilit\u00e9 de WinSCP","vendor_advisories":[{"published_at":null,"title":"Changement de version WinSCP du 02 septembre 2007","url":null}]}