CVE-2022-31180 in Shescape
Sumário
de VulDB • 17/06/2026
Shescape é um pacote simples de escape de shell para JavaScript. As versões afetadas apresentaram escapamento insuficiente de espaços em branco ao interpolar a saída. Este problema afeta apenas os usuários que utilizam as funções `escape` ou `escapeAll` com a opção `interpolation` definida como `true`. O resultado é que, se um atacante conseguir incluir espaços em branco na entrada, ele poderá: 1. Invocar comportamento específico do shell por meio de caracteres especiais específicos do shell inseridos diretamente após o espaço em branco. 2. Invocar comportamento específico do shell por meio de caracteres especiais específicos do shell inseridos ou aparecendo após caracteres que terminam a linha. 3. Invocar comandos arbitrários ao inserir um caractere de nova linha (line feed). 4. Invocar comandos arbitrários ao inserir um caractere de retorno de carro (carriage return). O comportamento número 1 foi corrigido na versão [v1.5.7], para a qual você pode atualizar agora. Não são necessárias alterações adicionais. Os comportamentos números 2, 3 e 4 foram corrigidos na versão [v1.5.8], para a qual você pode atualizar agora. Não são necessárias alterações adicionais. A melhor solução alternativa é evitar o uso da opção `interpolation: true` - na maioria dos casos, é possível usar uma alternativa; consulte as [receitas](https://github.com/ericcornelissen/shescape#recipes) para recomendações. Alternativamente, os usuários podem remover todos os espaços em branco das entradas do usuário. Observe que isso está sujeito a erros; por exemplo: no PowerShell, isso requer a remoção de `'\u0085'`, o qual não está incluído na definição JavaScript de `\s` para Expressões Regulares (Regular Expressions).
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.