WinSCPでファイルタイプ（プロトコル）「scp://」と「sftp://」を関連付けている場合に、任意のコマンドを実行できてしまう脆弱性のようです。まだパッチはでていない気がするので、場当たり的な対処法としては関連付けを削除かな。

「ツール ＞ フォルダオプション ＞ ファイルの種類」から以下の項目を編集（削除）してしまいましょう。

• 拡張子：(なし)　URL:SCPプロトコル
• 拡張子：(なし)　URL:SFTPプロトコル

「詳細設定」から「アクション：open」を削除するなどで大丈夫なはず。

※この項目自体はどうやって消すのだろう？？「削除」がアクティブにならず消せなかった。

• WinSCP :: Introduction

アップデート待ちです。