CVE-2016-10622

EPSS 2.0%CWE-311

En resumen

nodeschnaps descarga archivos sobre HTTP sin cifrar, permitiendo que atacantes en la red intercepten y reemplacen los archivos por versiones maliciosas, ejecutando código dañino en tu computadora.

Detalle técnico

nodeschnaps obtiene recursos binarios mediante HTTP sin encriptación ni verificación de integridad, habilitando ataques man-in-the-middle donde un atacante posicionado en la red puede sustituir binarios legítimos por maliciosos, resultando en ejecución remota de código arbitrario durante la instalación o ejecución.

Resumen generado y traducido por IA a partir de la descripción oficial.

nodeschnaps is a NodeJS compatibility layer for Java (Rhino). nodeschnaps downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code execution (RCE) by swapping out the requested binary with an attacker controlled binary if the attacker is on the network or positioned in between the user and the remote server.

Productos afectados

HackerOne · nodeschnaps node module

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://nodesecurity.io/advisories/212