CVE-2016-10642
CVE-2016-10642
Em resumo
CMake baixa arquivos binários por HTTP desencriptado em vez de HTTPS seguro, permitindo que um atacante na rede intercepte e substitua esses arquivos por versões maliciosas, potencialmente assumindo controle total do seu computador.
Detalhe técnico
Os binários Linux x86 do CMake são obtidos via HTTP inseguro sem verificação de integridade, viabilizando ataques man-in-the-middle em que um atacante posicionado na rede pode substituir o binário por código malicioso, resultando em execução arbitrária de código durante instalação ou uso.
Resumo gerado e traduzido por IA a partir da descrição oficial.
cmake installs the cmake x86 linux binaries. cmake downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code execution (RCE) by swapping out the requested binary with an attacker controlled binary if the attacker is on the network or positioned in between the user and the remote server.
Produtos afetados
HackerOne · cmake node moduleQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://nodesecurity.io/advisories/233