CVE-2025-59410

Nome do Software Vulnerável e Versões Afetadas Versões do Dragonfly anteriores a 2.1.0

Descrição O Dragonfly, um sistema de distribuição de arquivos e aceleração de imagens baseado em P2P e de código aberto, está suscetível a um ataque Man-in-the-Middle. O agendador para download de arquivos pequenos foi configurado para usar o protocolo HTTP em vez de HTTPS. Isso permite que um atacante intercepte e modifique requisições de rede, potencialmente substituindo dados legítimos por conteúdo malicioso. A vulnerabilidade é agravada por verificações de integridade fracas. O segmento de código vulnerável está localizado dentro da função DownloadTinyFile(). A URL de destino usada na função vulnerável é: http://${host}:${port}/download/${taskIndex}/${taskID}?peerId=${peerID}.

Recomendações Atualize para a versão 2.1.0 ou posterior do Dragonfly.