CVE-2016-10665
CVE-2016-10665
En resumen
Herbivore, una biblioteca de análisis de paquetes, descarga archivos sin cifrar por Internet, permitiendo que atacantes en la red intercepten y reemplacen esos archivos con código malicioso, pudiendo tomar control de una computadora.
Detalle técnico
La vulnerabilidad existe en herbivore ≤0.0.3 por el uso de HTTP sin cifrar para descargas de recursos binarios, permitiendo ataques man-in-the-middle con sustitución arbitraria de archivos. Un atacante posicionado en la ruta de la red puede interceptar tráfico HTTP y servir binarios maliciosos, resultando en ejecución remota de código cuando la aplicación carga los recursos comprometidos.
Resumen generado y traducido por IA a partir de la descripción oficial.
herbivore is a packet sniffing and crafting library. Built on libtins herbivore 0.0.3 and below download binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code execution (RCE) by swapping out the requested resources with an attacker controlled copy if the attacker is on the network or positioned in between the user and the remote server.
Productos afectados
HackerOne · herbivore node module¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →