Platform
nodejs
Component
electron-packager
Opgelost in
7.0.0
CVE-2016-10534 beschrijft een kwetsbaarheid in electron-packager, een tool voor het bundelen van Electron-applicaties. Deze kwetsbaarheid maakt een Man-in-the-Middle (MITM) aanval mogelijk tijdens het installatieproces, waarbij een kwaadwillende partij de Electron-download kan onderscheppen en vervangen. De kwetsbaarheid treft versies van electron-packager die standaard SSL-certificaatverificatie uitschakelen. Een update naar versie 7.0.0 of hoger is beschikbaar om dit probleem te verhelpen.
De impact van deze kwetsbaarheid is aanzienlijk, omdat een succesvolle MITM-aanval kan leiden tot het installeren van een kwaadaardige Electron-applicatie op het systeem van de gebruiker. Dit kan resulteren in ongeautoriseerde toegang tot gegevens, het uitvoeren van willekeurige code en het compromitteren van de beveiliging van het hele systeem. Aangezien electron-packager vaak wordt gebruikt voor het bundelen van desktopapplicaties, kan dit een breed scala aan gebruikers beïnvloeden. De aanval richt zich specifiek op het downloadproces van Electron, waardoor de integriteit van de applicatie in gevaar komt. Een succesvolle aanval kan vergelijkbaar zijn met aanvallen waarbij software-updates worden gemanipuleerd om malware te verspreiden.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt in 2019. Er zijn geen bekende actieve campagnes gemeld die deze specifieke kwetsbaarheid uitbuiten, maar het potentieel voor MITM-aanvallen blijft bestaan, vooral in omgevingen met een minder veilige netwerkinfrastructuur. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en heeft een CVSS-score van 2.5 (LOW). Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend.
Developers and organizations using electron-packager to build and distribute Electron-based applications are at risk, particularly those relying on the CLI and not explicitly configuring SSL verification within their node.js API calls. Shared hosting environments where users have limited control over the build process are also at increased risk.
• nodejs / supply-chain:
Get-Process -Name electron-packager | Select-Object -ExpandProperty Path• nodejs / supply-chain:
Get-ChildItem -Path "C:\Program Files\electron-packager\*" -Recurse -Filter "*.exe"• generic web:
curl -I https://example.com/electron-download.exe | grep -i ssldiscovery
disclosure
patch
Exploit Status
EPSS
0.16% (36% percentiel)
De primaire mitigatie voor CVE-2016-10534 is het updaten van electron-packager naar versie 7.0.0 of hoger. Deze versie bevat een correctie die SSL-certificaatverificatie standaard inschakelt. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het expliciet inschakelen van de strict-ssl optie in de electron-packager configuratie. Dit kan worden gedaan door de optie strict-ssl: true toe te voegen aan de configuratie. Controleer na de upgrade of de applicatie correct functioneert en of de SSL-verbindingen correct worden geverifieerd door de download van Electron te controleren.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2016-10534 is a vulnerability in electron-packager versions before 7.0.0 that allows attackers to perform MITM attacks during Electron downloads, potentially replacing them with malicious files.
You are affected if you are using electron-packager versions prior to 7.0.0 and are using the CLI, as the default SSL verification is disabled.
Upgrade electron-packager to version 7.0.0 or later to resolve the vulnerability. Consider WAF/proxy rules if immediate upgrade is not possible.
While no confirmed active exploitation campaigns are publicly known, the potential for MITM attacks makes it a significant risk.
Refer to the electron-packager documentation and related security advisories for more information: https://github.com/electron-userland/electron-packager/issues/602
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.