Platform
nodejs
Component
igniteui
Opgelost in
0.0.6
CVE-2016-10552 beschrijft een kwetsbaarheid in de igniteui package, waarbij Javascript en CSS resources via een onbeveiligde HTTP-verbinding worden gedownload. Dit stelt een aanvaller met netwerktoegang in staat om data te onderscheppen en mogelijk te wijzigen. De kwetsbaarheid treft versies van igniteui tot en met 0.0.5. Het wordt aanbevolen om over te stappen op de [ignite-ui](https://preview.npmjs.com/package/ignite-ui) package.
Een aanvaller die deze kwetsbaarheid kan misbruiken, kan potentieel gevoelige data onderscheppen die via de onbeveiligde HTTP-verbinding wordt verzonden. Dit omvat Javascript-code en CSS-stijlen, die mogelijk informatie over de applicatie of gebruikers bevatten. De impact is beperkt tot het netwerksegment waar de aanvaller toegang toe heeft. Het is vergelijkbaar met andere man-in-the-middle aanvallen waarbij onversleutelde communicatie wordt onderschept. De kwetsbaarheid kan leiden tot data-exfiltratie en mogelijk tot het manipuleren van de gebruikersinterface.
Deze kwetsbaarheid is niet opgenomen in de CISA KEV catalogus. Er zijn geen publieke proof-of-concept exploits bekend. De publicatiedatum van de CVE is 2019-02-18. Gezien de deprecated status van de package en het relatief lage CVSS-score, is de kans op actieve exploitatie momenteel laag.
Applications utilizing the igniteui package in environments where network traffic is not adequately secured are at risk. This includes deployments on shared hosting platforms where the attacker might be on the same network, and legacy applications that haven't been updated to use HTTPS.
• nodejs / server:
npm list igniteuiIf the package is present, investigate network traffic to confirm resources are being downloaded over HTTP. • generic web:
curl -I https://your-application-url/path/to/resource.css | grep HTTP/1.0If the response header indicates HTTP/1.0, it's using unencrypted HTTP.
disclosure
Exploit Status
EPSS
0.14% (33% percentiel)
De primaire mitigatie is het upgraden naar de [ignite-ui](https://preview.npmjs.com/package/ignite-ui) package, die de igniteui package heeft vervangen. Indien een upgrade niet direct mogelijk is, kan een reverse proxy of Web Application Firewall (WAF) worden ingezet om de HTTP-verbindingen te versleutelen met HTTPS. Configureer de proxy/WAF om alle HTTP-verzoeken om te leiden naar HTTPS. Controleer de configuratie van de applicatie om te verzekeren dat alle resources via HTTPS worden geladen. Na de upgrade, verifieer de correcte werking van de applicatie en controleer de logboeken op ongebruikelijke activiteit.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2016-10552 is a vulnerability in igniteui versions ≤0.0.5 where JavaScript and CSS resources are downloaded over unencrypted HTTP, allowing network attackers to intercept data.
You are affected if your application uses igniteui version 0.0.5 or earlier and resources are being served over HTTP. Upgrade to ignite-ui or enable HTTPS.
The recommended fix is to upgrade to the ignite-ui package. Alternatively, configure your web server to serve resources over HTTPS.
There are currently no known active exploits or campaigns targeting CVE-2016-10552.
The vulnerability is documented in the npm advisory and related discussions, although the package is deprecated. Refer to the ignite-ui project for current recommendations.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.