Vulnerabilidad en Shescape (CVE-2022-31179)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)

Fecha de publicación:

01/08/2022

Última modificación:

09/08/2022

Descripción

Shescape es un sencillo paquete de escape de shell para JavaScript. Las versiones anteriores a 1.5.8, fueron encontradas sujetas a inyección de código en Windows. Esto afecta a usuarios que usan Shescape (cualquier función de la API) para escapar de los argumentos de cmd.exe en Windows Un atacante puede omitir todos los argumentos que siguen a su entrada mediante la inclusión de un carácter de avance de línea (""\n"") en la carga útil. Este error ha sido parcheado en la [v1.5.8], a la que puede actualizar ahora. No es necesario realizar más cambios. Alternativamente, los caracteres de avance de línea (""\n"") pueden ser eliminados manualmente o la entrada del usuario puede convertirse en el último argumento (esto sólo limita el impacto)

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto