VU#123335 : Plusieurs langages de programmation ne parviennent pas à échapper correctement les arguments sous Microsoft Windows

Des vulnérabilités d'injection de commandes ont été identifiées dans divers langages de programmation lorsqu'ils sont exécutés sous Windows, permettant aux attaquants d'exécuter du code arbitraire déguisé en arguments de commande. Cela se produit en raison d'un manque de validation et de mécanismes d'échappement appropriés pour les commandes et les arguments. La vulnérabilité affecte les applications qui exécutent des commandes sans spécifier d'extensions de fichiers et peut être exploitée pour exécuter des commandes arbitraires. Microsoft a documenté des préoccupations concernant l'exécution de commandes et l'échappement depuis 2011. L'impact de cette vulnérabilité dépend de l'implémentation et peut être atténué en mettant à jour l'environnement d'exécution ou en échappant et en neutralisant manuellement les données. Un chercheur en sécurité a fourni des informations détaillées sur les langages spécifiques affectés et leur état.