Vulnerabilidad en Shescape (CVE-2025-30222)
Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
25/03/2025
Última modificación:
27/03/2025
Descripción
Shescape es una librería de escape de shell sencilla para JavaScript. Las versiones 1.7.2 a 2.1.1 son vulnerables a la posible exposición de variables de entorno en Windows con CMD. Esto afecta a los usuarios de Shescape en Windows que configuran explícitamente `shell: 'cmd.exe'` o `shell: true` mediante `quote`/`quoteAll`/`escape`/`escapeAll`. Un atacante podría obtener acceso de solo lectura a las variables de entorno. Este error se ha corregido en la versión 2.1.2. Quienes ya utilizan la versión 2 de Shescape no requieren cambios adicionales. Quienes utilizan la versión 1 de Shescape deben seguir la guía de migración para actualizar a la versión 2. No se prevé publicar un parche compatible con la versión 1 de Shescape. Como workaround, los usuarios pueden eliminar todas las instancias de `%` de la entrada de usuario antes de usar Shescape.
Referencias a soluciones, herramientas e información
- https://github.com/ericcornelissen/shescape/commit/0a81f1eb077bab8caae283a2490cd7be9af179c6
- https://github.com/ericcornelissen/shescape/pull/1916
- https://github.com/ericcornelissen/shescape/releases/tag/v2.1.2
- https://github.com/ericcornelissen/shescape/security/advisories/GHSA-66pp-5p9w-q87j
- https://github.com/ericcornelissen/shescape/security/advisories/GHSA-66pp-5p9w-q87j