漏洞信息(CVE-2016-10536)

一、漏洞 CVE-2016-10536 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

engine.io-client 是 engine.io 客户端，用于实现 Socket.IO 的基于传输的跨浏览器/设备双向通信层。这个漏洞与 Node.js 处理 `rejectUnauthorized` 设置的方式有关。如果值是一个评估为 false 的东西，证书验证将 disabled。由于 engine.io-client 1.6.8 及其更早版本会为包含 `rejectUnauthorized` 属性的设置 passing 一个对象，不管是否已设置。如果值没有 explicitly 改变，它将被作为 `null` 传递，从而使证书验证关闭。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

engine.io-client is the client for engine.io, the implementation of a transport-based cross-browser/cross-device bi-directional communication layer for Socket.IO. The vulnerability is related to the way that node.js handles the `rejectUnauthorized` setting. If the value is something that evaluates to false, certificate verification will be disabled. This is problematic as engine.io-client 1.6.8 and earlier passes in an object for settings that includes the rejectUnauthorized property, whether it has been set or not. If the value has not been explicitly changed, it will be passed in as `null`, resulting in certificate verification being turned off.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

通道可被非端点访问(中间人攻击)

来源：美国国家漏洞数据库 NVD

漏洞标题

engine.io-client 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

engine.io-client是一个跨浏览器、跨设备的、基于传输的实时应用程序框架。 engine.io-client 1.6.8及之前版本中存在安全漏洞，该漏洞源于在默认情况下程序没有验证证书。攻击者可利用该漏洞实施中间人攻击。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

信任管理问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2016-10536 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2016-10536 的情报信息

https://www.cigital.com/blog/node-js-socket-io/ x_refsource_MISC
https://github.com/socketio/engine.io-client/commit/2c55b278a491bf45313ecc0825cf800e2f7ff5c1 x_refsource_MISC
https://nodesecurity.io/advisories/99 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2016-10536

一、 漏洞 CVE-2016-10536 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2016-10536 的公开POC

三、漏洞 CVE-2016-10536 的情报信息

一、漏洞 CVE-2016-10536 基础信息