CVE-2022-31179 in Shescape
要約
〜によって VulDB • 2026年06月30日
ShescapeはJavaScript用のシンプルなシェルエスケープパッケージです。バージョン1.5.8以前のバージョンでは、Windows上でコードインジェクションの対象となることが発見されました。これは、Windows環境でcmd.exeの引数をエスケープするためにShescape(任意のAPI関数)を使用するユーザーに影響を与えます。攻撃者はペイロードに改行文字(`'\n'`)を含めることで、入力後に続くすべての引数を省略することができます。このバグは[v1.5.8]で修正されており、今すぐアップグレード可能です。それ以上の変更は必要ありません。あるいは、改行文字(`'\n'`)を手動で除去するか、ユーザー入力を最後の引数にすることで影響を制限することもできます(これは影響範囲を限定するのみです)。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.