CVE-2022-31180

Insufficient escaping of whitespace in shescape

Severity Score

9.8

*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

*Multiple Sources

Exploited in Wild

*KEV

Decision

*SSVC

Descriptions

Shescape is a simple shell escape package for JavaScript. Affected versions were found to have insufficient escaping of white space when interpolating output. This issue only impacts users that use the `escape` or `escapeAll` functions with the `interpolation` option set to `true`. The result is that if an attacker is able to include whitespace in their input they can: 1. Invoke shell-specific behaviour through shell-specific special characters inserted directly after whitespace. 2. Invoke shell-specific behaviour through shell-specific special characters inserted or appearing after line terminating characters. 3. Invoke arbitrary commands by inserting a line feed character. 4. Invoke arbitrary commands by inserting a carriage return character. Behaviour number 1 has been patched in [v1.5.7] which you can upgrade to now. No further changes are required. Behaviour number 2, 3, and 4 have been patched in [v1.5.8] which you can upgrade to now. No further changes are required. The best workaround is to avoid having to use the `interpolation: true` option - in most cases using an alternative is possible, see [the recipes](https://github.com/ericcornelissen/shescape#recipes) for recommendations. Alternatively, users may strip all whitespace from user input. Note that this is error prone, for example: for PowerShell this requires stripping `'\u0085'` which is not included in JavaScript's definition of `\s` for Regular Expressions.

Shescape es un paquete de escape de shell simple para JavaScript. Se ha detectado que las versiones afectadas no escapan suficientemente de los espacios en blanco cuando interpolan la salida. Este problema sólo afecta a usuarios que usan las funciones "escape" o "escapeAll" con la opción "interpolation" establecida como "true". El resultado es que si un atacante es capaz de incluir espacios en blanco en su entrada puede 1. Invocar un comportamiento específico del shell a través de caracteres especiales específicos del shell insertados directamente después de los espacios en blanco. 2. 2. Invocar el comportamiento específico del shell mediante caracteres especiales específicos del shell insertados o que aparecen después de los caracteres de terminación de línea. 3. Invocar comandos arbitrarios mediante la inserción de un carácter de avance de línea. 4. Invocar comandos arbitrarios mediante la inserción de un carácter de retorno de carro. El comportamiento número 1 ha sido parcheado en la [versión v1.5.7] a la que puedes actualizar ahora. No son requeridos más cambios. Los comportamientos número 2, 3 y 4 han sido parcheados en la [versión v1.5.8] a la que puede actualizarse ahora. No son requeridos más cambios. La mejor mitigación es evitar tener que usar la opción "interpolación: true" - en la mayoría de los casos es posible usar una alternativa, vea [las recetas](https://github.com/ericcornelissen/shescape#recipes) para recomendaciones. Alternativamente, los usuarios pueden eliminar todos los espacios en blanco de la entrada del usuario. Tenga en cuenta que esto es propenso a errores, por ejemplo: para PowerShell esto requiere quitar "'\u0085'" que no está incluido en la definición de JavaScript de "\s" para Expresiones Regulares

*Credits: N/A

CVSS Scores

NISTv3.1 9.8

Attack Vector

Network

Attack Complexity

Low

Privileges Required

None

User Interaction

None

Scope

Unchanged

Confidentiality

High

Integrity

High

Availability

High

* Common Vulnerability Scoring System

SSVC

Decision:-

Exploitation

Automatable

Tech. Impact

* Organization's Worst-case Scenario

Timeline

2022-05-18 CVE Reserved
2022-08-01 CVE Published
2024-08-03 CVE Updated
2024-08-03 First Exploit
2024-10-23 EPSS Updated
---------- Exploited in Wild
---------- KEV Due Date

CWE

CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')

CAPEC

References (5)

URL	Tag	Source
https://github.com/ericcornelissen/shescape/releases/tag/v1.5.7	Release Notes
https://github.com/ericcornelissen/shescape/releases/tag/v1.5.8	Release Notes

URL	Date	SRC
https://github.com/ericcornelissen/shescape/security/advisories/GHSA-44vr-rwwj-p88h	2024-08-03

URL	Date	SRC
https://github.com/ericcornelissen/shescape/pull/322	2023-07-24
https://github.com/ericcornelissen/shescape/pull/324	2023-07-24

URL	Date	SRC

Affected Vendors, Products, and Versions

Vendor		Product				Version		Other		Status
Vendor	Product	Version	Other	Status	<-- -->	Vendor	Product	Version	Other	Status
Shescape Project Search vendor "Shescape Project"		Shescape Search vendor "Shescape Project" for product "Shescape"				>= 1.4.0 < 1.5.8 Search vendor "Shescape Project" for product "Shescape" and version " >= 1.4.0 < 1.5.8"		-		Affected