CVE-2016-10600
CVE-2016-10600
En resumen
webrtc-native descarga archivos binarios por HTTP sin encriptación, permitiendo que atacantes en la red intercepten y reemplacen estos archivos con versiones maliciosas, pudiendo ejecutar código dañino en tu computadora.
Detalle técnico
La vulnerabilidad resulta del transporte inseguro (CWE-311) de recursos binarios sobre HTTP sin cifrado ni verificación de integridad. Un atacante en el camino de red puede interceptar solicitudes HTTP y entregar binarios maliciosos, logrando ejecución remota de código si la aplicación ejecuta los recursos descargados sin validación.
Resumen generado y traducido por IA a partir de la descripción oficial.
webrtc-native uses WebRTC from chromium project. webrtc-native downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code execution (RCE) by swapping out the requested binary with an attacker controlled binary if the attacker is on the network or positioned in between the user and the remote server.
Productos afectados
HackerOne · webrtc-native node module¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://nodesecurity.io/advisories/176