NVD脆弱性詳細

Exploit、PoC検索

NVD脆弱性検索トップ

->

NVD脆弱性詳細

CVE-2021-21384

概要	shescape is a simple shell escape package for JavaScript. In shescape before version 1.1.3, anyone using _Shescape_ to defend against shell injection may still be vulnerable against shell injection if the attacker manages to insert a into the payload. For an example see the referenced GitHub Security Advisory. The problem has been patched in version 1.1.3. No further changes are required.
公表日	2021年3月19日9:15
登録日	2021年3月19日16:02
最終更新日	2024年11月21日14:48

CVSS3.1 : HIGH
スコア	7.8
ベクター	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ローカル
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	低
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : MEDIUM
スコア	4.6
ベクター	AV:L/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ローカル
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:shescape_project:shescape::::::node.js::*					1.1.3
実行環境
1	cpe:2.3:o:microsoft:windows:-:::::::*
2	cpe:2.3:o:opengroup:unix:-:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/ericcornelissen/shescape/commit/07a069a66423809cbedd61d980c11ca44a29ea2b		Patch Third Party Advisory
2	https://github.com/ericcornelissen/shescape/commit/07a069a66423809cbedd61d980c11ca44a29ea2b		Patch Third Party Advisory
3	https://github.com/ericcornelissen/shescape/releases/tag/v1.1.3		Release Notes Third Party Advisory
4	https://github.com/ericcornelissen/shescape/releases/tag/v1.1.3		Release Notes Third Party Advisory
5	https://github.com/ericcornelissen/shescape/security/advisories/GHSA-f2rp-38vg-j3gh		Exploit Third Party Advisory
6	https://github.com/ericcornelissen/shescape/security/advisories/GHSA-f2rp-38vg-j3gh		Exploit Third Party Advisory
7	https://www.npmjs.com/package/shescape		Product
8	https://www.npmjs.com/package/shescape		Product

共通脆弱性一覧

JVN脆弱性情報

shescape における引数の挿入または変更に関する脆弱性

タイトル	shescape における引数の挿入または変更に関する脆弱性
概要	shescape には、引数の挿入または変更に関する脆弱性が存在します。
想定される影響	情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2021年3月14日0:00
登録日	2021年11月30日15:11
最終更新日	2021年11月30日15:11

影響を受けるシステム

Shescape project

Shescape 1.1.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-21384	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21384
National Vulnerability Database (NVD)
2	CVE-2021-21384	https://nvd.nist.gov/vuln/detail/CVE-2021-21384

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-88	https://cwe.mitre.org/data/definitions/88.html

ベンダー情報

No	名前	URL
GitHub
1	Null characters not escaped	https://github.com/ericcornelissen/shescape/security/advisories/GHSA-f2rp-38vg-j3gh
2	Release v1.1.3	https://github.com/ericcornelissen/shescape/releases/tag/v1.1.3
3	Strip null characters from arguments	https://github.com/ericcornelissen/shescape/commit/07a069a66423809cbedd61d980c11ca44a29ea2b
npm
4	shescape	https://www.npmjs.com/package/shescape

変更履歴

No	変更内容	変更日
1	[2021年11月30日] 掲載	2021年11月30日15:11