CVE-2016-10604
CVE-2016-10604
Em resumo
O dalek-browser-chrome baixa arquivos do navegador por HTTP desencriptado, permitindo que atacantes na rede interceptem e substituam por versões maliciosas, executando código prejudicial no seu computador.
Detalhe técnico
CWE-311: Falta de Encriptação de Dados Sensíveis. O dalek-browser-chrome recupera recursos binários via HTTP sem encriptação, facilitando ataques MITM onde um atacante posicionado na rede pode substituir binários legítimos por cargas maliciosas, resultando em execução arbitrária de código no contexto da aplicação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
dalek-browser-chrome is Google Chrome bindings for DalekJS. dalek-browser-chrome downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code execution (RCE) by swapping out the requested binary with an attacker controlled binary if the attacker is on the network or positioned in between the user and the remote server.
Produtos afetados
HackerOne · dalek-browser-chrome node moduleQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://nodesecurity.io/advisories/199