PT-2021-14464 · Shescape · Shescape
Ericcornelissen
·
Publicado
2021-03-18
·
Atualizado
2021-04-22
·
CVE-2021-21384
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do shescape anteriores à 1.1.3
Descrição
O problema afeta o shescape, um pacote simples de escape de shell para JavaScript, no qual os usuários ainda podem estar vulneráveis à injeção de shell se um invasor conseguir inserir um caractere nulo na carga útil. Isso pode ser explorado, por exemplo, inserindo um caractere nulo em uma carga útil no Windows. O problema foi corrigido na versão 1.1.3.
Recomendações
Para versões anteriores à 1.1.3, atualize para a versão 1.1.3 para resolver o problema.
Como solução temporária, considere remover manualmente os caracteres nulos usando um método como
arg.replace(/u{0}/gu, “”) até que a atualização para a versão 1.1.3 seja aplicada.Exploit
Correção
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shescape