Ericcornelissen

**Name of the Vulnerable Software and Affected Versions** Shescape versions prior to 2.1.9 **Description** Shescape is a JavaScript shell escape library. A flaw exists where an attacker may be able to bypass escaping for the shell being used, potentially leading to exposure of sensitive information. This issue impacts users who configure the `shell` option to point to a file on disk that is a symbolic link to another symbolic link. The outcome of a successful exploit depends on the specific shell in use and how Shescape identifies it. The provided proof of concept demonstrates the bypass using a crafted payload with the `userInput` variable and the `shescape.escape()` function. The example uses the `/api/v1/exec` endpoint to execute commands. **Recommendations** Versions prior to 2.1.9 should be upgraded to version 2.1.9 or later. If upgrading is not possible, avoid using a shell or ensure the configured shell path is not a link to a link.

**Nome do software vulnerável e versões afetadas** Versões do Deno anteriores à 1.41.1 **Descrição** A validação insuficiente de parâmetros nas APIs `Deno.makeTemp*` permitiria a criação de arquivos fora dos diretórios permitidos. Isso pode permitir que o usuário sobrescreva arquivos importantes no sistema, o que pode afetar outros sistemas. Um usuário pode fornecer um prefixo ou sufixo a uma API `Deno.makeTemp*` contendo caracteres de traversal de caminho. **Recomendações** Para versões do Deno anteriores à 1.41.1, atualize para o Deno 1.41.1 para resolver o problema. Como solução temporária, considere restringir o uso das APIs `Deno.makeTemp*` para evitar possíveis explorações. Evite usar prefixos ou sufixos contendo caracteres de traversal de caminho nas APIs `Deno.makeTemp*` até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Shescape versions prior to 1.7.4 **Description** The issue affects users of Shescape on Windows in a threaded context, allowing attackers to bypass protections by exploiting Shescape's failure to correctly escape for the expected shell. This can occur when the expected default system shell is different from the one actually used, such as when configuring the use of PowerShell but Shescape defaults to escaping for CMD instead. **Recommendations** For versions prior to 1.7.4, upgrade to version 1.7.4 to resolve the issue. If you are impacted and cannot upgrade immediately, be aware that there is no workaround possible for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Shescape versions prior to 1.7.1 **Description** An attacker may be able to get read-only access to environment variables. This issue affects users of Shescape on Windows using the Windows Command Prompt, and when using `quote`/`quoteAll` or `escape`/`escapeAll` with the `interpolation` option set to `true`. For example, an attacker can exploit this by using a payload like `%PATH%` in the `shescape.quote()` or `shescape.escape()` functions, allowing them to access the contents of the PATH environment variable. **Recommendations** For versions prior to 1.7.1, upgrade to version 1.7.1 to patch the bug. As a temporary workaround, consider removing all instances of `%` from user input, either before or after using Shescape, to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Versões do Shescape anteriores à 1.5.10 Shescape versão 1.5.9 para Bash **Descrição** Um problema de complexidade ineficiente de expressões regulares afeta usuários do Shescape que o utilizam para escapar argumentos em shells Unix, incluindo Bash e Dash, particularmente ao usar as funções `escape` ou `escapeAll` com a opção `interpolation` definida como `true`. Isso permite que um invasor cause backtracking polinomial ou tempo de execução quadrático em relação ao comprimento da string de entrada devido a expressões regulares vulneráveis. Uma solução alternativa envolve impor um comprimento máximo às strings de entrada para reduzir o impacto da vulnerabilidade. **Recomendações** Para versões anteriores à 1.5.10, atualize para a versão 1.5.10 ou posterior. Para a versão 1.5.9 usada com o Bash, atualize para a versão 1.5.10 ou posterior. Como solução temporária, considere impor um comprimento máximo às cadeias de caracteres de entrada para o Shescape, a fim de minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Shescape anteriores à 1.5.8 **Descrição** O problema afeta usuários das funções `escape` ou `escapeAll` com a opção `interpolation` definida como `true`. Se um invasor conseguir incluir espaços em branco em sua entrada, ele poderá invocar comportamentos específicos do shell ou comandos arbitrários por diversos meios, incluindo caracteres especiais do shell, avanço de linha ou retorno de carro. Isso afeta vários shells, incluindo Bash, Dash, Zsh e PowerShell. **Recomendações** Para resolver o problema, atualize para a versão 1.5.8 ou posterior. Não são necessárias outras alterações. Como solução alternativa temporária, considere evitar o uso da opção `interpolation: true`, já que muitas vezes é possível usar uma alternativa. Consulte as receitas para obter recomendações. Como alternativa, os usuários podem remover todos os espaços em branco da entrada do usuário, mas observe que essa abordagem é propensa a erros e pode exigir considerações adicionais, como remover `‘u0085’` para o PowerShell, que não está incluído na definição de `s` do JavaScript para Expressões Regulares.

**Nome do software vulnerável e versões afetadas** Versões do Shescape anteriores à 1.5.8 **Descrição** A vulnerabilidade afeta usuários do Shescape que utilizam qualquer função da API para escapar argumentos do cmd.exe no Windows. Um invasor pode omitir todos os argumentos que se seguem à sua entrada incluindo um caractere de avanço de linha (` `) na carga maliciosa. Isso permite a injeção de código no Windows. **Recomendações** Para versões anteriores à 1.5.8, atualize para a versão 1.5.8 para resolver o problema. Não são necessárias outras alterações. Como alternativa, os caracteres de avanço de linha (` `) podem ser removidos manualmente ou a entrada do usuário pode ser definida como o último argumento para limitar o impacto.

**Nome do software vulnerável e versões afetadas** shescape, versões 1.4.0 a 1.5.1 **Descrição** A vulnerabilidade permite a exposição do diretório home em sistemas Unix ao usar o Bash com as funções `escape` ou `escapeAll` da API shescape com a opção `interpolation` definida como `true`. Outros shells testados, como o Dash e o Zsh, não são afetados. Dependendo de como a saída do shescape é utilizada, pode ser possível a traversal de diretórios no aplicativo que utiliza o shescape . **Recomendações** Para as versões 1.4.0 a 1.5.1, atualize para a versão 1.5.1 para resolver o problema. Como solução alternativa temporária, considere escapar manualmente todas as instâncias do caractere til (`~`) usando `arg.replace(/~/g, “~”)`.

**Nome do software vulnerável e versões afetadas** Versões do shescape anteriores à 1.1.3 **Descrição** O problema afeta o shescape, um pacote simples de escape de shell para JavaScript, no qual os usuários ainda podem estar vulneráveis à injeção de shell se um invasor conseguir inserir um caractere nulo na carga útil. Isso pode ser explorado, por exemplo, inserindo um caractere nulo em uma carga útil no Windows. O problema foi corrigido na versão 1.1.3. **Recomendações** Para versões anteriores à 1.1.3, atualize para a versão 1.1.3 para resolver o problema. Como solução temporária, considere remover manualmente os caracteres nulos usando um método como `arg.replace(/u{0}/gu, “”)` até que a atualização para a versão 1.1.3 seja aplicada.