CVE-2016-10665
CVE-2016-10665
Em resumo
A biblioteca Herbivore baixa arquivos sem criptografia pela internet, permitindo que atacantes na rede interceptem e substituam esses arquivos por código malicioso, podendo tomar controle do computador.
Detalhe técnico
A vulnerabilidade existe no herbivore ≤0.0.3 pelo uso de HTTP não criptografado para downloads de recursos binários, permitindo ataques man-in-the-middle com substituição arbitrária de arquivos. Um atacante posicionado no caminho da rede pode interceptar tráfego HTTP e servir binários maliciosos, resultando em execução remota de código quando a aplicação carrega os recursos comprometidos.
Resumo gerado e traduzido por IA a partir da descrição oficial.
herbivore is a packet sniffing and crafting library. Built on libtins herbivore 0.0.3 and below download binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code execution (RCE) by swapping out the requested resources with an attacker controlled copy if the attacker is on the network or positioned in between the user and the remote server.
Produtos afetados
HackerOne · herbivore node moduleQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →