Shescape — это простая библиотека escape-оболочек для JavaScript. До версии 2.1.10 Shescape#escape() не экранировал синтаксис glob в квадратных скобках для Bash, BusyBox sh и Dash. Приложения, которые интерполируют возвращаемое значение непосредственно в командную строку оболочки, могут привести к тому, что контролируемое злоумышленником значение, такое как secret[12], расширится до нескольких совпадений файловой системы вместо одного буквального аргумента, превращая один аргумент в несколько совпадений доверенного пути.
Эта уязвимость исправлена в версии 2.1.10.
Показать оригинальное описание (EN)
Shescape is a simple shell escape library for JavaScript. Prior to 2.1.10, Shescape#escape() does not escape square-bracket glob syntax for Bash, BusyBox sh, and Dash. Applications that interpolate the return value directly into a shell command string can cause an attacker-controlled value like secret[12] to expand into multiple filesystem matches instead of a single literal argument, turning one argument into multiple trusted-pathname matches. This vulnerability is fixed in 2.1.10.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Shescape_Project Shescape
cpe:2.3:a:shescape_project:shescape:*:*:*:*:*:node.js:*:*
|
— |
2.1.10
|