CVE-2022-31180 in Shescape
Riassunto
di VulDB • 16/06/2026
Shescape è un semplice pacchetto per l'escape della shell in JavaScript. È stato riscontrato che le versioni colpite presentano un'escapes insufficiente degli spazi bianchi durante l'interpolazione dell'output. Questo problema interessa solo gli utenti che utilizzano le funzioni `escape` o `escapeAll` con l'opzione `interpolation` impostata su `true`. Di conseguenza, se un attaccante riesce a includere spazi bianchi nel proprio input, può: 1. InvoCare comportamenti specifici della shell tramite caratteri speciali specifici della shell inseriti direttamente dopo gli spazi bianchi. 2. InvoCare comportamenti specifici della shell tramite caratteri speciali specifici della shell inseriti o presenti dopo i caratteri di terminazione di riga. 3. InvoCare comandi arbitrari inserendo un carattere di avanzamento riga (line feed). 4. InvoCare comandi arbitrari inserendo un carattere di ritorno a capo (carriage return). Il comportamento numero 1 è stato corretto nella versione [v1.5.7], alla quale è possibile effettuare l'aggiornamento ora. Non sono necessarie ulteriori modifiche. I comportamenti numeri 2, 3 e 4 sono stati corretti nella versione [v1.5.8], alla quale è possibile effettuare l'aggiornamento ora. Non sono necessarie ulteriori modifiche. La migliore soluzione alternativa (workaround) è evitare di dover utilizzare l'opzione `interpolation: true`; nella maggior parte dei casi è possibile utilizzare un'alternativa, vedere [le ricette](https://github.com/ericcornelissen/shescape#recipes) per i consigli. In alternativa, gli utenti possono rimuovere tutti gli spazi bianchi dall'input dell'utente. Si noti che questa operazione è soggetta a errori; ad esempio, per PowerShell è necessario rimuovere `'\u0085'`, che non è incluso nella definizione di `\s` di JavaScript per le Espressioni Regolari.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.