CVE-2016-10686
CVE-2016-10686
Em resumo
O fis-sass-all baixa arquivos por HTTP desencriptado em vez de HTTPS seguro, permitindo que atacantes na rede interceptem e substituam esses arquivos por versões maliciosas, executando código prejudicial no seu computador.
Detalhe técnico
O pacote faz download de recursos binários por HTTP sem criptografia, expondo-o a ataques de man-in-the-middle. Um atacante posicionado no caminho da rede pode interceptar o download e substituir os binários por versões maliciosas, resultando em execução de código arbitrário no contexto da aplicação que usa fis-sass-all.
Resumo gerado e traduzido por IA a partir da descrição oficial.
fis-sass-all is another libsass wrapper for node. fis-sass-all downloads binary resources over HTTP, which leaves it vulnerable to MITM attacks. It may be possible to cause remote code execution (RCE) by swapping out the requested resources with an attacker controlled copy if the attacker is on the network or positioned in between the user and the remote server.
Produtos afetados
HackerOne · fis-sass-all node moduleQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://nodesecurity.io/advisories/287