CVE-2022-36064

Versões do Shescape anteriores à 1.5.10

Shescape versão 1.5.9 para Bash

Um problema de complexidade ineficiente de expressões regulares afeta usuários do Shescape que o utilizam para escapar argumentos em shells Unix, incluindo Bash e Dash, particularmente ao usar as funções escape ou escapeAll com a opção interpolation definida como true. Isso permite que um invasor cause backtracking polinomial ou tempo de execução quadrático em relação ao comprimento da string de entrada devido a expressões regulares vulneráveis. Uma solução alternativa envolve impor um comprimento máximo às strings de entrada para reduzir o impacto da vulnerabilidade.

Para versões anteriores à 1.5.10, atualize para a versão 1.5.10 ou posterior.

Para a versão 1.5.9 usada com o Bash, atualize para a versão 1.5.10 ou posterior.

Como solução temporária, considere impor um comprimento máximo às cadeias de caracteres de entrada para o Shescape, a fim de minimizar o risco de exploração.