一、 漏洞 CVE-2023-40185 基础信息
漏洞标题
在线程上下文中,Windows的安全套接字(Shescape)可能绕过安全漏洞。
来源:AIGC 神龙大模型
漏洞描述信息
Windows上的Shellescape逃逸可能在多线程上下文中被绕过
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
Shescape on Windows escaping may be bypassed in threaded context
来源:美国国家漏洞数据库 NVD
漏洞描述信息
shescape is simple shell escape library for JavaScript. This may impact users that use Shescape on Windows in a threaded context. The vulnerability can result in Shescape escaping (or quoting) for the wrong shell, thus allowing attackers to bypass protections depending on the combination of expected and used shell. This bug has been patched in version 1.7.4.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
转义、元或控制序列转义处理不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
shescape 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Shescape是开源的一个用于JavaScript的简单外壳转义程序包。使用它可以将用户控制的输入转义给shell命令,以防止shell注入。 shescape 1.7.4之前版本存在安全漏洞,该漏洞源于转义(或引用)错误的shell,从而允许攻击者绕过保护。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-40185 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-40185 的情报信息