CVE-2022-31180 in Shescapeالمعلومات

الملخص

بحسب VulDB • 19/06/2026

Shescape هو حزمة بسيطة للهروب من القشرة (shell escape) مخصصة لـ JavaScript. وُجد أن الإصدارات المتأثرة لديها هروب غير كافٍ من المسافات البيضاء (white space) عند التضمين (interpolation) للمخرجات. تؤثر هذه المشكلة فقط على المستخدمين الذين يستخدمون الدالتين `escape` أو `escapeAll` مع تعيين خيار `interpolation` إلى `true`. النتيجة هي أنه إذا تمكن مهاجم من تضمين مسافات بيضاء في مدخلاته، فيمكنه: 1. استدعاء سلوك خاص بالقشرة من خلال أحرف خاصة خاصة بالقشرة تُدرج مباشرة بعد المسافات البيضاء. 2. استدعاء سلوك خاص بالقشرة من خلال أحرف خاصة خاصة بالقشرة تُدرج أو تظهر بعد أحرف إنهاء السطر. 3. استدعاء أوامر عشوائية عن طريق إدراج حرف تغذية السطر (line feed). 4. استدعاء أوامر عشوائية عن طريق إدراج حرف إرجاع السيارة (carriage return). تم إصلاح السلوك رقم 1 في [v1.5.7] الذي يمكنك الترقية إليه الآن. لا توجد تغييرات إضافية مطلوبة. تم إصلاح السلوكيات رقم 2 و3 و4 في [v1.5.8] الذي يمكنك الترقية إليه الآن. لا توجد تغييرات إضافية مطلوبة. أفضل حل بديل هو تجنب الحاجة إلى استخدام خيار `interpolation: true` - ففي معظم الحالات، من الممكن استخدام بديل، انظر [الوصفات](https://github.com/ericcornelissen/shescape#recipes) للحصول على التوصيات. وبدلاً من ذلك، يمكن للمستخدمين إزالة جميع المسافات البيضاء من مدخلات المستخدم. لاحظ أن هذا الأمر عرضة للأخطاء، على سبيل المثال: بالنسبة لـ PowerShell، يتطلب ذلك إزالة `'\u0085'` وهو غير مدرج في تعريف JavaScript لـ `\s` الخاص بالتعبيرات النمطية (Regular Expressions).

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub, Inc.

حجز

18/05/2022

إفشاء

02/08/2022

الاعتدال

تمت الموافقة

إدخال

VDB-205472

EPSS

0.01541

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!