CVE-2026-9277— shell-quote quote() 命令注入漏洞
Possible ATT&CK Techniques 2AI
T1059 · Command and Scripting Interpreter T1190 · Exploit Public-Facing ApplicationAffected Version Matrix 1
| ベンダー | プロダクト | Version Range | ステータス |
|---|---|---|---|
| None | shell-quote | 1.1.0< 1.8.4 | affected |
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-9277の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
shell-quote `quote()` does not validate object-token shapes, allowing command injection via line terminators in `.op`
ソース: NVD (National Vulnerability Database)
脆弱性説明
shell-quote's `quote()` function did not validate object-token inputs against the operator model used by `parse()`. The `.op` field was backslash-escaped character by character using `/(.)/g`, which in JavaScript does not match line terminators (\n, \r, U+2028, U+2029). A line terminator in `.op` therefore passed through unescaped into the output; POSIX shells treat a literal newline as a command separator, so any content after it would execute as a second command. The vulnerable code path is reachable in two ways: (1) direct construction of `{ op: '...\n...' }` from external input, and (2) via `parse(cmd, envFn)` when `envFn` returns object tokens whose `.op` is attacker-influenced. Both are documented API surface. Fixed by replacing the per-character escape with strict shape validation: `.op` must match the parser's control-operator allowlist; `{ op: 'glob', pattern }` validates `pattern` and forbids line terminators; `{ comment }` validates `comment` and forbids line terminators; any other object shape throws `TypeError`.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
ソース: NVD (National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| - | shell-quote | 1.1.0 ~ 1.8.4 | - |
II. CVE-2026-9277の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POC検証済み環境 プレミアム
実際のサンドボックス録画· POCが実際に脆弱性をトリガーすることを確認するために、以下の録画をご覧ください。
サンドボックス構築&起動
Qwen3.6-35B-A3B · 6572 文字数
有料版に含まれるもの:
脆弱性の原理を深く分析
トリガー条件と影響範囲
完全な実行可能POCコード
攻撃チェーンと緩和策の提案
POCパッケージのダウンロード
月間100件以上のAI生成枠
III. CVE-2026-9277のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-9277 补丁与修复 (1)
CVE-2026-9277 厂商安全公告 (1)
CVE-2026-9277 其他参考 (1)
IV. 関連脆弱性
同じ弱点: CWE-78
- CVE-2026-9367
NousResearch hermes-agent terminal_tool approval.py detect_d - CVE-2026-9347
Edimax EW-7438RPn webs formWizSurvey os command injection - CVE-2026-9343
Edimax EW-7438RPn webs formWpsStart os command injection - CVE-2026-45255
Remote code execution via installer Wi-Fi access point scans - CVE-2026-44076
Shell injection via volume path
V. CVE-2026-9277へのコメント
まだコメントはありません