Plataforma
nodejs
Componente
igniteui
Corrigido em
0.0.6
A vulnerabilidade CVE-2016-10552 afeta versões do pacote igniteui menores ou iguais a 0.0.5. Essa falha permite que um atacante com acesso privilegiado à rede intercepte e potencialmente modifique dados transmitidos em trânsito, pois os recursos JavaScript e CSS são baixados via HTTP não criptografado. A atualização para o pacote ignite-ui é a solução recomendada, pois o pacote igniteui foi descontinuado pelo autor.
Um atacante posicionado na rede pode explorar essa vulnerabilidade para interceptar o tráfego HTTP não criptografado entre o cliente e o servidor. Isso pode levar à exposição de informações sensíveis, como credenciais de usuário, dados de sessão ou outros dados confidenciais transmitidos durante a comunicação. A interceptação pode também permitir a modificação do conteúdo transmitido, potencialmente comprometendo a integridade da aplicação e induzindo o usuário a realizar ações não intencionais. A ausência de criptografia torna a comunicação vulnerável a ataques de sniffing e man-in-the-middle.
A vulnerabilidade foi publicada em 2019. Não há evidências de exploração ativa em campanhas direcionadas. Não está listada no KEV do CISA. A probabilidade de exploração é considerada baixa devido à natureza da vulnerabilidade e à descontinuação do pacote afetado.
Applications utilizing the igniteui package in environments where network traffic is not adequately secured are at risk. This includes deployments on shared hosting platforms where the attacker might be on the same network, and legacy applications that haven't been updated to use HTTPS.
• nodejs / server:
npm list igniteuiIf the package is present, investigate network traffic to confirm resources are being downloaded over HTTP. • generic web:
curl -I https://your-application-url/path/to/resource.css | grep HTTP/1.0If the response header indicates HTTP/1.0, it's using unencrypted HTTP.
disclosure
Status do Exploit
EPSS
0.14% (percentil 33%)
A mitigação primária é a atualização para o pacote ignite-ui, que substitui o igniteui descontinuado. Se a atualização imediata não for possível, a implementação de um Web Application Firewall (WAF) pode ajudar a bloquear o tráfego HTTP não criptografado. Configure o WAF para bloquear solicitações e respostas HTTP para os recursos JavaScript e CSS. Além disso, considere a utilização de regras de proxy para forçar a comunicação HTTPS, garantindo que todos os dados sejam transmitidos de forma criptografada. Após a atualização ou implementação das medidas de mitigação, verifique se a comunicação com os recursos JavaScript e CSS ocorre exclusivamente via HTTPS.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2016-10552 is a vulnerability in igniteui versions ≤0.0.5 where JavaScript and CSS resources are downloaded over unencrypted HTTP, allowing network attackers to intercept data.
You are affected if your application uses igniteui version 0.0.5 or earlier and resources are being served over HTTP. Upgrade to ignite-ui or enable HTTPS.
The recommended fix is to upgrade to the ignite-ui package. Alternatively, configure your web server to serve resources over HTTPS.
There are currently no known active exploits or campaigns targeting CVE-2016-10552.
The vulnerability is documented in the npm advisory and related discussions, although the package is deprecated. Refer to the ignite-ui project for current recommendations.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.