PT-2022-17604 · Shescape · Shescape
Elliot Ward
·
Publicado
2022-10-25
·
Atualizado
2025-05-05
·
CVE-2022-25918
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
shescape, versões 1.5.10 a 1.6.1
Descrição
O problema está relacionado a uma vulnerabilidade de negação de serviço por expressão regular (ReDoS) por meio da função
escape no arquivo index.js, devido ao uso de expressões regulares inseguras na função escapeArgBash. Isso afeta usuários que utilizam o shescape para escapar argumentos para o shell Bash do Unix ou qualquer shell Unix não oficialmente suportado, usando as funções escape ou escapeAll com a opção interpolation definida como true. Um invasor pode causar backtracking polinomial em função do comprimento da string de entrada.Recomendações
Para as versões 1.5.10 a 1.6.1 do shescape, atualize para a versão 1.6.1 para corrigir a vulnerabilidade.
Como solução temporária, considere impor um comprimento máximo para as strings de entrada no shescape a fim de reduzir o impacto da vulnerabilidade.
Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Shescape