Null characters not escaped in shescape 漏洞信息(CVE-2021-21384)

一、漏洞 CVE-2021-21384 基础信息

漏洞标题

在shescape中未转义空字符

来源：AIGC 神龙大模型

漏洞描述信息

shescape中未转义空字符

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

Null characters not escaped in shescape

来源：美国国家漏洞数据库 NVD

漏洞描述信息

shescape is a simple shell escape package for JavaScript. In shescape before version 1.1.3, anyone using _Shescape_ to defend against shell injection may still be vulnerable against shell injection if the attacker manages to insert a into the payload. For an example see the referenced GitHub Security Advisory. The problem has been patched in version 1.1.3. No further changes are required.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:L/I:H/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

参数注入或修改

来源：美国国家漏洞数据库 NVD

漏洞标题

shescape 参数注入漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

shescape是开源的一个用于JavaScript的简单外壳转义程序包。使用它可以将用户控制的输入转义给shell命令，以防止shell注入。 shescape before version 1.1.3 存在参数注入漏洞，攻击者可利用该漏洞将a插入有效负载中，则使用_Shescape_防御shell注入的任何人可能容易受到shell注入的攻击。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

授权问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2021-21384 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2021-21384 的情报信息

https://github.com/ericcornelissen/shescape/security/advisories/GHSA-f2rp-38vg-j3gh x_refsource_CONFIRM
https://github.com/ericcornelissen/shescape/commit/07a069a66423809cbedd61d980c11ca44a29ea2b x_refsource_MISC
https://github.com/ericcornelissen/shescape/releases/tag/v1.1.3 x_refsource_MISC
https://www.npmjs.com/package/shescape x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2021-21384

一、 漏洞 CVE-2021-21384 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2021-21384 的公开POC

三、漏洞 CVE-2021-21384 的情报信息

一、漏洞 CVE-2021-21384 基础信息