CVE-2022-31180

Versões do Shescape anteriores à 1.5.8

O problema afeta usuários das funções escape ou escapeAll com a opção interpolation definida como true. Se um invasor conseguir incluir espaços em branco em sua entrada, ele poderá invocar comportamentos específicos do shell ou comandos arbitrários por diversos meios, incluindo caracteres especiais do shell, avanço de linha ou retorno de carro. Isso afeta vários shells, incluindo Bash, Dash, Zsh e PowerShell.

Para resolver o problema, atualize para a versão 1.5.8 ou posterior. Não são necessárias outras alterações.

Como solução alternativa temporária, considere evitar o uso da opção interpolation: true, já que muitas vezes é possível usar uma alternativa. Consulte as receitas para obter recomendações.

Como alternativa, os usuários podem remover todos os espaços em branco da entrada do usuário, mas observe que essa abordagem é propensa a erros e pode exigir considerações adicionais, como remover ‘u0085’ para o PowerShell, que não está incluído na definição de s do JavaScript para Expressões Regulares.