CVE-2022-31180 in Shescapeinformación

Resumen

por VulDB • 2026-06-17

Shescape es un paquete simple para escapar del shell en JavaScript. Se ha encontrado que las versiones afectadas tienen una escapado insuficiente de los espacios en blanco al interpolar la salida. Este problema solo afecta a usuarios que utilizan las funciones `escape` o `escapeAll` con la opción `interpolation` configurada como `true`. El resultado es que si un atacante puede incluir espacios en blanco en su entrada, puede: 1. Invocar comportamiento específico del shell mediante caracteres especiales específicos del shell insertados directamente después de los espacios en blanco. 2. Invocar comportamiento específico del shell mediante caracteres especiales específicos del shell insertados o apareciendo después de caracteres terminadores de línea. 3. Ejecutar comandos arbitrarios al insertar un carácter de salto de línea (line feed). 4. Ejecutar comandos arbitrarios al insertar un carácter de retorno de carro (carriage return). El comportamiento número 1 ha sido parcheado en [v1.5.7], que puedes actualizar ahora. No se requieren cambios adicionales. Los comportamientos números 2, 3 y 4 han sido parcheados en [v1.5.8], que también puedes actualizar ahora. No se requieren cambios adicionales. La mejor solución alternativa es evitar tener que usar la opción `interpolation: true`; en la mayoría de los casos es posible utilizar una alternativa, consulta [las recetas](https://github.com/ericcornelissen/shescape#recipes) para recomendaciones. Alternativamente, los usuarios pueden eliminar todos los espacios en blanco de la entrada del usuario. Ten en cuenta que esto está sujeto a errores; por ejemplo: para PowerShell se requiere eliminar `'\u0085'`, el cual no está incluido en la definición de JavaScript de `\s` para Expresiones Regulares (Regular Expressions).

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub, Inc.

Reservar

2022-05-18

Divulgación

2022-08-02

Moderación

aceptado

Artículo

VDB-205472

CPE

listo

EPSS

0.01541

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!