CVE-2021-23355

todas as versões do ps-kill

A vulnerabilidade afeta o pacote ps-kill, onde um invasor pode executar comandos arbitrários se for fornecida à função kill uma entrada de usuário controlada pelo invasor. Isso se deve ao uso da função exec do child process sem sanitização de entrada no arquivo index.js. Uma prova de conceito (PoC) demonstra essa vulnerabilidade usando a função kill com uma entrada maliciosa, como $(touch success), o que pode levar à execução de comandos arbitrários.

Como solução temporária, considere desativar a função kill até que um patch esteja disponível.

Restrinja o acesso ao arquivo index.js para minimizar o risco de exploração.

Evite usar a função exec de child process com entradas de usuário não sanitizadas na função kill até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.