CVE-2022-31180 in Shescape
Zusammenfassung
von VulDB • 17.06.2026
Shescape ist ein einfaches Shell-Escape-Paket für JavaScript. Bei betroffenen Versionen wurde eine unzureichende Escape-Funktion bei der Interpolation von Leerzeichen festgestellt. Dieses Problem betrifft nur Benutzer, die die Funktionen `escape` oder `escapeAll` mit der Option `interpolation` auf `true` gesetzt verwenden. Das Ergebnis ist, dass ein Angreifer, der in der Lage ist, Leerzeichen in seine Eingabe einzufügen, Folgendes auslösen kann: 1. Shell-spezifisches Verhalten durch shell-spezifische Sonderzeichen, die direkt nach einem Leerzeichen eingefügt werden. 2. Shell-spezifisches Verhalten durch shell-spezifische Sonderzeichen, die nach Zeilenumbruch-Zeichen eingefügt oder vorhanden sind. 3. Beliebige Befehle durch Einfügen eines Zeilenvorschubzeichens (Line Feed). 4. Beliebige Befehle durch Einfügen eines Wagenrücklaufzeichens (Carriage Return). Verhalten Nr. 1 wurde in [v1.5.7] gepatcht, auf das Sie jetzt upgraden können. Keine weiteren Änderungen sind erforderlich. Die Verhaltensweisen Nr. 2, 3 und 4 wurden in [v1.5.8] gepatcht, auf das Sie jetzt upgraden können. Keine weiteren Änderungen sind erforderlich. Der beste Workaround besteht darin, die Option `interpolation: true` zu vermeiden – in den meisten Fällen ist eine Alternative möglich; siehe [die Rezepte](https://github.com/ericcornelissen/shescape#recipes) für Empfehlungen. Alternativ können Benutzer alle Leerzeichen aus Benutzereingaben entfernen. Beachten Sie jedoch, dass dies fehleranfällig ist; beispielsweise erfordert dies bei PowerShell das Entfernen von `'\u0085'`, was nicht in der Definition von `\s` für Reguläre Ausdrücke (Regular Expressions) in JavaScript enthalten ist.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.