CVE-2020-10800

Versões 15.8.7 e anteriores do lix

A vulnerabilidade permite que invasores do tipo man-in-the-middle executem código arbitrário modificando o fluxo de dados cliente-servidor HTTP. Isso é feito associando o cabeçalho Location a conteúdo executável controlado pelo invasor no campo postDownload. O pacote aceita downloads via http e segue redirecionamentos do cabeçalho location para downloads de pacotes, permitindo que um invasor em uma posição privilegiada na rede intercepte a instalação de um pacote lix e redirecione o download para uma fonte maliciosa.

Para as versões 15.8.7 e anteriores, considere usar um pacote alternativo até que uma correção seja disponibilizada. Como solução temporária, considere restringir o uso do protocolo http para downloads de pacotes a fim de minimizar o risco de exploração. Evite usar os redirecionamentos do cabeçalho location para downloads de pacotes até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.