CVE-2016-10604
CVE-2016-10604
En resumen
dalek-browser-chrome descarga archivos del navegador por HTTP sin encriptación, permitiendo que atacantes en la red intercepten y reemplacen con versiones maliciosas, ejecutando código dañino en tu computadora.
Detalle técnico
CWE-311: Falta de Encriptación de Datos Sensibles. dalek-browser-chrome recupera recursos binarios mediante HTTP sin encriptación, facilitando ataques MITM donde un atacante posicionado en la red puede reemplazar binarios legítimos con cargas maliciosas, resultando en ejecución arbitraria de código en el contexto de la aplicación.
Resumen generado y traducido por IA a partir de la descripción oficial.
dalek-browser-chrome is Google Chrome bindings for DalekJS. dalek-browser-chrome downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code execution (RCE) by swapping out the requested binary with an attacker controlled binary if the attacker is on the network or positioned in between the user and the remote server.
Productos afectados
HackerOne · dalek-browser-chrome node module¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://nodesecurity.io/advisories/199