WinSCPでファイルタイプ(プロトコル)「scp://」と「sftp://」を関連付けている場合に、任意のコマンドを実行できてしまう脆弱性のようです。まだパッチはでていない気がするので、場当たり的な対処法としては関連付けを削除かな。
「ツール > フォルダオプション > ファイルの種類」から以下の項目を編集(削除)してしまいましょう。
「詳細設定」から「アクション:open」を削除するなどで大丈夫なはず。
※この項目自体はどうやって消すのだろう??「削除」がアクティブにならず消せなかった。
アップデート待ちです。