LOWCVE-2016-10534CVSS 2.5

electron-packagerにおいてSSL検証がデフォルトでfalseになる

プラットフォーム

nodejs

コンポーネント

electron-packager

修正版

7.0.0

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2016-10534は、electron-packagerにおいてSSL証明書検証がデフォルトで無効になっている脆弱性です。この脆弱性を悪用されると、攻撃者は中間者攻撃（MITM）を実行し、Electronパッケージのダウンロードを改ざんする可能性があります。影響を受けるバージョンはelectron-packager 7.0.0以前です。バージョン7.0.0にアップデートすることでこの問題を解決できます。

影響と攻撃シナリオ

この脆弱性は、electron-packagerのCLIを使用している場合に影響を与えます。攻撃者は、ネットワーク上で特権的な位置にある場合、electron-packagerがElectronをダウンロードする際に、有効なダウンロードを改ざんされた悪意のあるものに置き換えるMITM攻撃を実行できます。これにより、悪意のあるコードがシステムにインストールされる可能性があります。この攻撃は、電子署名されたパッケージの検証を回避することで、システムへの不正なソフトウェアの導入を可能にします。悪用されると、機密情報の漏洩、システムの制御喪失、さらにはマルウェア感染につながる可能性があります。

悪用の状況

CVE-2016-10534は、2019年2月18日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、MITM攻撃の可能性を考慮すると、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録は確認されていません。この脆弱性は、電子署名されたパッケージの検証を回避する攻撃手法に類似しています。

リスク対象者翻訳中…

Developers and organizations using electron-packager to build and distribute Electron-based applications are at risk, particularly those relying on the CLI and not explicitly configuring SSL verification within their node.js API calls. Shared hosting environments where users have limited control over the build process are also at increased risk.

検出手順翻訳中…

• nodejs / supply-chain:

Get-Process -Name electron-packager | Select-Object -ExpandProperty Path

• nodejs / supply-chain:

Get-ChildItem -Path "C:\Program Files\electron-packager\*" -Recurse -Filter "*.exe"

• generic web:

curl -I https://example.com/electron-download.exe | grep -i ssl

攻撃タイムライン

2016-00-00Discovery
discovery
2019-02-18Disclosure
disclosure
2019-02-18Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.16% (36% パーセンタイル)

影響を受けるソフトウェア

コンポーネントelectron-packager

ベンダーosv

影響範囲修正版

5.2.17.0.0

タイムライン

公開日2019-02-18
更新日2023-11-08
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への主な対策は、electron-packagerをバージョン7.0.0以降にアップデートすることです。アップデートが利用できない場合、一時的な回避策として、electron-packagerのCLIを使用する際に、--strict-sslオプションを明示的に指定してSSL証明書検証を有効にすることができます。また、ネットワークトラフィックを監視し、不審な活動を検出するための侵入検知システム（IDS）やWebアプリケーションファイアウォール（WAF）を導入することも有効です。アップデート後、アプリケーションを再起動し、SSL接続が正しく検証されていることを確認してください。

修正方法翻訳中…

公式パッチはありません。回避策を確認するか、アップデートを監視してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2016-10534 — MITM攻撃はelectron-packagerで何ですか？

CVE-2016-10534は、electron-packagerのバージョン7.0.0以前において、SSL証明書検証がデフォルトで無効になっているため、攻撃者がMITM攻撃を実行し、悪意のあるElectronパッケージを挿入できる脆弱性です。

CVE-2016-10534はelectron-packagerで影響を受けますか？

はい、electron-packagerのバージョン7.0.0以前を使用している場合は、この脆弱性の影響を受けます。バージョン7.0.0以降にアップデートすることで、この問題を解決できます。

CVE-2016-10534はelectron-packagerでどのように修正しますか？

electron-packagerをバージョン7.0.0以降にアップデートしてください。アップデートできない場合は、CLIを使用する際に--strict-sslオプションを指定してSSL証明書検証を有効にしてください。

CVE-2016-10534は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、MITM攻撃の可能性を考慮すると、攻撃者による悪用が懸念されます。

CVE-2016-10534のelectron-packager公式アドバイザリはどこで入手できますか？

この脆弱性に関する公式アドバイザリは、electron-packagerのGitHubリポジトリで確認できます。https://github.com/electron-userland/electron-packager/issues/613