Plateforme
nodejs
Composant
electron-packager
Corrigé dans
7.0.0
La vulnérabilité CVE-2016-10534 affecte electron-packager, un outil pour empaqueter des applications Electron. Elle permet à un attaquant positionné sur le réseau d'intercepter et de modifier les téléchargements d'Electron lors du processus d'installation, conduisant potentiellement à l'exécution de code malveillant. Cette vulnérabilité touche les versions antérieures à 7.0.0 et peut être corrigée en mettant à jour vers la dernière version ou en activant l'option strict-ssl.
Cette vulnérabilité permet à un attaquant de lancer une attaque de l'homme du milieu (MITM) lors de l'installation de l'application Electron. L'attaquant peut intercepter le téléchargement d'Electron et le remplacer par une version compromise. Cela peut entraîner l'exécution de code malveillant sur la machine de la victime, compromettant potentiellement la confidentialité, l'intégrité et la disponibilité des données. L'impact est amplifié si l'application Electron est utilisée pour gérer des informations sensibles ou pour accéder à des ressources critiques. Bien que la vulnérabilité soit classée comme 'LOW' en termes de CVSS, la possibilité d'une attaque MITM sur le processus d'installation constitue un risque significatif, en particulier dans des environnements où la sécurité du réseau est compromise.
Cette vulnérabilité a été publiée en 2019, mais il n'y a pas d'indications d'une exploitation active à grande échelle. Aucun proof-of-concept (PoC) public n'a été largement diffusé. La vulnérabilité n'est pas répertoriée sur le KEV de CISA. Bien que la probabilité d'exploitation soit considérée comme faible, la nature de la vulnérabilité (MITM) la rend potentiellement exploitable dans des environnements où la sécurité du réseau est compromise.
Developers and organizations using electron-packager to build and distribute Electron-based applications are at risk, particularly those relying on the CLI and not explicitly configuring SSL verification within their node.js API calls. Shared hosting environments where users have limited control over the build process are also at increased risk.
• nodejs / supply-chain:
Get-Process -Name electron-packager | Select-Object -ExpandProperty Path• nodejs / supply-chain:
Get-ChildItem -Path "C:\Program Files\electron-packager\*" -Recurse -Filter "*.exe"• generic web:
curl -I https://example.com/electron-download.exe | grep -i ssldiscovery
disclosure
patch
Statut de l'Exploit
EPSS
0.16% (percentile 36%)
La mitigation principale consiste à mettre à jour electron-packager vers la version 7.0.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, activez l'option strict-ssl: true dans la configuration de electron-packager. Cette option force la vérification du certificat SSL lors du téléchargement d'Electron, empêchant ainsi les attaques MITM. En cas de problèmes de compatibilité après la mise à jour, envisagez un rollback vers une version précédente stable, mais assurez-vous de surveiller les téléchargements d'Electron pour détecter toute anomalie. Après la mise à jour, vérifiez que l'option strict-ssl est bien activée en inspectant la configuration de electron-packager.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2016-10534 is a vulnerability in electron-packager versions before 7.0.0 that allows attackers to perform MITM attacks during Electron downloads, potentially replacing them with malicious files.
You are affected if you are using electron-packager versions prior to 7.0.0 and are using the CLI, as the default SSL verification is disabled.
Upgrade electron-packager to version 7.0.0 or later to resolve the vulnerability. Consider WAF/proxy rules if immediate upgrade is not possible.
While no confirmed active exploitation campaigns are publicly known, the potential for MITM attacks makes it a significant risk.
Refer to the electron-packager documentation and related security advisories for more information: https://github.com/electron-userland/electron-packager/issues/602
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.