CVE-2016-10663
CVE-2016-10663
En resumen
El módulo wixtoolset de Node descarga archivos binarios por HTTP sin cifrar en lugar de HTTPS seguro, permitiendo que atacantes en la red intercepten y reemplacen esos archivos con versiones maliciosas, potencialmente tomando control total de la computadora afectada.
Detalle técnico
wixtoolset descarga recursos binarios sobre HTTP sin cifrado, creando una vulnerabilidad de ataque man-in-the-middle (MITM). Un atacante posicionado en el camino de la red puede interceptar el tráfico HTTP y reemplazar binarios legítimos por maliciosos, logrando ejecución remota de código con los privilegios del proceso Node. No se requiere autenticación ni precondiciones especiales más allá del acceso a la red.
Resumen generado y traducido por IA a partir de la descripción oficial.
wixtoolset is a Node module wrapper around the wixtoolset binaries wixtoolset downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code execution (RCE) by swapping out the requested resources with an attacker controlled copy if the attacker is on the network or positioned in between the user and the remote server.
Productos afectados
HackerOne · wixtoolset node module¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →