Plataforma
nodejs
Componente
electron-packager
Corrigido em
7.0.0
A vulnerabilidade CVE-2016-10534 em electron-packager permite ataques Man-in-the-Middle (MITM) durante o processo de instalação de aplicações. Devido à configuração padrão, o electron-packager desativa a verificação de certificados SSL, possibilitando a interceptação e substituição de downloads do Electron. Essa falha afeta versões anteriores a 7.0.0 e pode levar à instalação de software malicioso.
Um atacante com acesso privilegiado à rede pode explorar essa vulnerabilidade para interceptar o processo de download do Electron durante a instalação de aplicações geradas pelo electron-packager. Ao interceptar o download, o atacante pode substituir o arquivo legítimo do Electron por uma versão maliciosa, que executará código não autorizado no sistema da vítima. Isso pode resultar em roubo de dados, instalação de malware, ou controle total do sistema. A vulnerabilidade é particularmente preocupante em ambientes onde a segurança da rede não é totalmente confiável, ou onde os downloads são realizados através de redes públicas.
A vulnerabilidade CVE-2016-10534 foi divulgada em 2019. Não há relatos públicos de exploração ativa em larga escala, mas a facilidade de execução de um ataque MITM torna a vulnerabilidade um risco potencial. A ausência de um KEV listing indica uma probabilidade de exploração considerada baixa a média. A existência de um proof-of-concept (POC) pode facilitar a exploração por atacantes com conhecimento técnico.
Developers and organizations using electron-packager to build and distribute Electron-based applications are at risk, particularly those relying on the CLI and not explicitly configuring SSL verification within their node.js API calls. Shared hosting environments where users have limited control over the build process are also at increased risk.
• nodejs / supply-chain:
Get-Process -Name electron-packager | Select-Object -ExpandProperty Path• nodejs / supply-chain:
Get-ChildItem -Path "C:\Program Files\electron-packager\*" -Recurse -Filter "*.exe"• generic web:
curl -I https://example.com/electron-download.exe | grep -i ssldiscovery
disclosure
patch
Status do Exploit
EPSS
0.16% (percentil 36%)
A mitigação primária para CVE-2016-10534 é atualizar o electron-packager para a versão 7.0.0 ou superior, que corrige a desativação padrão da verificação SSL. Se a atualização imediata não for possível, considere implementar uma solução alternativa, como a utilização da API do electron-packager em vez da CLI, onde a opção strict-ssl é definida como true por padrão. Além disso, verifique a integridade dos downloads do Electron após a instalação, utilizando ferramentas de verificação de assinatura digital. Monitore o tráfego de rede em busca de atividades suspeitas durante o processo de instalação.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2016-10534 is a vulnerability in electron-packager versions before 7.0.0 that allows attackers to perform MITM attacks during Electron downloads, potentially replacing them with malicious files.
You are affected if you are using electron-packager versions prior to 7.0.0 and are using the CLI, as the default SSL verification is disabled.
Upgrade electron-packager to version 7.0.0 or later to resolve the vulnerability. Consider WAF/proxy rules if immediate upgrade is not possible.
While no confirmed active exploitation campaigns are publicly known, the potential for MITM attacks makes it a significant risk.
Refer to the electron-packager documentation and related security advisories for more information: https://github.com/electron-userland/electron-packager/issues/602
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.