CVE-2022-21235

github.com/masterminds/vcs versões anteriores à 1.13.3

A vulnerabilidade diz respeito à injeção de comando por meio da injeção de argumentos. Quando o hg é executado, as cadeias de caracteres dos argumentos são passadas de forma a permitir a definição de sinalizadores adicionais, o que pode ser usado para a injeção de comando. Isso pode ocorrer quando URLs e caminhos de arquivos locais passados para as APIs do Mercurial (hg) são especialmente criados para conter comandos. O pacote vcs utiliza o sistema de controle de versão subjacente, neste caso o hg, e outros sistemas de controle de versão com uma interface implementada também podem estar vulneráveis. Passar entradas não confiáveis para funções do VCS pode permitir que um invasor execute comandos arbitrários.

Para versões anteriores à 1.13.3, atualize para a versão 1.13.3 ou posterior para resolver o problema.

Como solução alternativa temporária, considere sanitizar os dados passados para as APIs do pacote vcs para garantir que não contenham comandos ou dados inesperados, especialmente para dados de entrada do usuário que são passados diretamente para as APIs do pacote.