Akshat Sinha

**Nome do Software Vulnerável e Versões Afetadas** shell-quote versões anteriores a 1.8.4 **Descrição** A função `quote()` não valida as entradas de tokens de objeto em relação ao modelo de operador usado por `parse()`. Especificamente, o campo `.op` é escapado usando uma expressão regular que não corresponde a terminadores de linha, como ` `, `r`, `U+2028` e `U+2029`. Isso permite que terminadores de linha passem sem escape para a saída. Como os shells POSIX tratam novas linhas literais como separadores de comando, qualquer conteúdo após a nova linha é executado como um comando separado, resultando em injeção de comando. Este problema é acessível por meio da construção direta de `{ op: '... ...' }` a partir de entradas externas ou via `parse(cmd, envFn)` quando `envFn` retorna tokens de objeto cujo campo `.op` é influenciado por um invasor. **Recomendações** Atualize para a versão 1.8.4 ou posterior. Como medida paliativa temporária, restrinja a influência de entradas externas no campo `.op` em tokens de objeto passados para a função `quote()` ou retornados por `envFn` na função `parse()`.