CVE-2016-10663
CVE-2016-10663
Em resumo
O módulo wixtoolset do Node baixa arquivos binários por HTTP não criptografado em vez de HTTPS seguro, permitindo que atacantes na rede interceptem e substituam esses arquivos por versões maliciosas, potencialmente tomando controle total do computador afetado.
Detalhe técnico
wixtoolset faz download de recursos binários sobre HTTP sem criptografia, criando uma vulnerabilidade de ataque man-in-the-middle (MITM). Um atacante posicionado no caminho da rede pode interceptar o tráfego HTTP e substituir binários legítimos por maliciosos, alcançando execução remota de código com os privilégios do processo Node. Nenhuma autenticação ou pré-condição especial é necessária além do acesso à rede.
Resumo gerado e traduzido por IA a partir da descrição oficial.
wixtoolset is a Node module wrapper around the wixtoolset binaries wixtoolset downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code execution (RCE) by swapping out the requested resources with an attacker controlled copy if the attacker is on the network or positioned in between the user and the remote server.
Produtos afetados
HackerOne · wixtoolset node moduleQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →