Vulnerabilidad en shescape (CVE-2022-25918)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/10/2022
Última modificación:
05/05/2025
Descripción
El paquete shescape de 1.5.10 y anteriores a 1.6.1 es vulnerable a la Denegación de Servicio de Expresión Regular (ReDoS) a través de la función de escape en index.js, debido al uso de expresiones regulares inseguras en la función escapeArgBash.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:shescape_project:shescape:1.5.10:*:*:*:*:node.js:*:* | ||
| cpe:2.3:a:shescape_project:shescape:1.6.0:*:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/ericcornelissen/shescape/blob/main/src/unix.js%23L52
- https://github.com/ericcornelissen/shescape/commit/552e8eab56861720b1d4e5474fb65741643358f9
- https://github.com/ericcornelissen/shescape/releases/tag/v1.6.1
- https://security.snyk.io/vuln/SNYK-JS-SHESCAPE-3061108
- https://github.com/ericcornelissen/shescape/blob/main/src/unix.js%23L52
- https://github.com/ericcornelissen/shescape/commit/552e8eab56861720b1d4e5474fb65741643358f9
- https://github.com/ericcornelissen/shescape/releases/tag/v1.6.1
- https://security.snyk.io/vuln/SNYK-JS-SHESCAPE-3061108