Vulnerability Details CVE-2016-7099
The tls.checkServerIdentity function in Node.js 0.10.x before 0.10.47, 0.12.x before 0.12.16, 4.x before 4.6.0, and 6.x before 6.7.0 does not properly handle wildcards in name fields of X.509 certificates, which allows man-in-the-middle attackers to spoof servers via a crafted certificate.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.001
EPSS Ranking 35.9%
CVSS Severity
CVSS v3 Score 5.9
CVSS v2 Score 4.3
References
- http://lists.opensuse.org/opensuse-security-announce/2016-10/msg00013.html
- http://rhn.redhat.com/errata/RHSA-2017-0002.html
- http://www.securityfocus.com/bid/93191
- https://github.com/nodejs/node/commit/743f0c916469f3129dfae406fa104dc46782e20b
- https://nodejs.org/en/blog/vulnerability/september-2016-security-releases/
- http://lists.opensuse.org/opensuse-security-announce/2016-10/msg00013.html
- http://rhn.redhat.com/errata/RHSA-2017-0002.html
- http://www.securityfocus.com/bid/93191
- https://github.com/nodejs/node/commit/743f0c916469f3129dfae406fa104dc46782e20b
- https://nodejs.org/en/blog/vulnerability/september-2016-security-releases/
Products affected by CVE-2016-7099
-
cpe:2.3:a:nodejs:node.js:0.10.0
-
cpe:2.3:a:nodejs:node.js:0.10.1
-
cpe:2.3:a:nodejs:node.js:0.10.10
-
cpe:2.3:a:nodejs:node.js:0.10.11
-
cpe:2.3:a:nodejs:node.js:0.10.12
-
cpe:2.3:a:nodejs:node.js:0.10.13
-
cpe:2.3:a:nodejs:node.js:0.10.14
-
cpe:2.3:a:nodejs:node.js:0.10.15
-
cpe:2.3:a:nodejs:node.js:0.10.16
-
cpe:2.3:a:nodejs:node.js:0.10.16-isaacs-manual
-
cpe:2.3:a:nodejs:node.js:0.10.17
-
cpe:2.3:a:nodejs:node.js:0.10.18
-
cpe:2.3:a:nodejs:node.js:0.10.19
-
cpe:2.3:a:nodejs:node.js:0.10.2
-
cpe:2.3:a:nodejs:node.js:0.10.20
-
cpe:2.3:a:nodejs:node.js:0.10.21
-
cpe:2.3:a:nodejs:node.js:0.10.22
-
cpe:2.3:a:nodejs:node.js:0.10.23
-
cpe:2.3:a:nodejs:node.js:0.10.24
-
cpe:2.3:a:nodejs:node.js:0.10.25
-
cpe:2.3:a:nodejs:node.js:0.10.26
-
cpe:2.3:a:nodejs:node.js:0.10.27
-
cpe:2.3:a:nodejs:node.js:0.10.28
-
cpe:2.3:a:nodejs:node.js:0.10.29
-
cpe:2.3:a:nodejs:node.js:0.10.3
-
cpe:2.3:a:nodejs:node.js:0.10.30
-
cpe:2.3:a:nodejs:node.js:0.10.31
-
cpe:2.3:a:nodejs:node.js:0.10.32
-
cpe:2.3:a:nodejs:node.js:0.10.33
-
cpe:2.3:a:nodejs:node.js:0.10.34
-
cpe:2.3:a:nodejs:node.js:0.10.35
-
cpe:2.3:a:nodejs:node.js:0.10.36
-
cpe:2.3:a:nodejs:node.js:0.10.37
-
cpe:2.3:a:nodejs:node.js:0.10.38
-
cpe:2.3:a:nodejs:node.js:0.10.39
-
cpe:2.3:a:nodejs:node.js:0.10.4
-
cpe:2.3:a:nodejs:node.js:0.10.40
-
cpe:2.3:a:nodejs:node.js:0.10.41
-
cpe:2.3:a:nodejs:node.js:0.10.42
-
cpe:2.3:a:nodejs:node.js:0.10.43
-
cpe:2.3:a:nodejs:node.js:0.10.44
-
cpe:2.3:a:nodejs:node.js:0.10.45
-
cpe:2.3:a:nodejs:node.js:0.10.46
-
cpe:2.3:a:nodejs:node.js:0.10.5
-
cpe:2.3:a:nodejs:node.js:0.10.6
-
cpe:2.3:a:nodejs:node.js:0.10.7
-
cpe:2.3:a:nodejs:node.js:0.10.8
-
cpe:2.3:a:nodejs:node.js:0.10.9
-
cpe:2.3:a:nodejs:node.js:0.12.0
-
cpe:2.3:a:nodejs:node.js:0.12.1
-
cpe:2.3:a:nodejs:node.js:0.12.10
-
cpe:2.3:a:nodejs:node.js:0.12.11
-
cpe:2.3:a:nodejs:node.js:0.12.12
-
cpe:2.3:a:nodejs:node.js:0.12.13
-
cpe:2.3:a:nodejs:node.js:0.12.14
-
cpe:2.3:a:nodejs:node.js:0.12.15
-
cpe:2.3:a:nodejs:node.js:0.12.2
-
cpe:2.3:a:nodejs:node.js:0.12.3
-
cpe:2.3:a:nodejs:node.js:0.12.4
-
cpe:2.3:a:nodejs:node.js:0.12.5
-
cpe:2.3:a:nodejs:node.js:0.12.6
-
cpe:2.3:a:nodejs:node.js:0.12.7
-
cpe:2.3:a:nodejs:node.js:0.12.8
-
cpe:2.3:a:nodejs:node.js:0.12.9
-
cpe:2.3:a:nodejs:node.js:4.0.0
-
cpe:2.3:a:nodejs:node.js:4.1.0
-
cpe:2.3:a:nodejs:node.js:4.1.1
-
cpe:2.3:a:nodejs:node.js:4.1.2
-
cpe:2.3:a:nodejs:node.js:4.2.0
-
cpe:2.3:a:nodejs:node.js:4.2.1
-
cpe:2.3:a:nodejs:node.js:4.2.2
-
cpe:2.3:a:nodejs:node.js:4.2.3
-
cpe:2.3:a:nodejs:node.js:4.2.4
-
cpe:2.3:a:nodejs:node.js:4.2.5
-
cpe:2.3:a:nodejs:node.js:4.2.6
-
cpe:2.3:a:nodejs:node.js:4.3.0
-
cpe:2.3:a:nodejs:node.js:4.3.1
-
cpe:2.3:a:nodejs:node.js:4.3.2
-
cpe:2.3:a:nodejs:node.js:4.4.0
-
cpe:2.3:a:nodejs:node.js:4.4.1
-
cpe:2.3:a:nodejs:node.js:4.4.2
-
cpe:2.3:a:nodejs:node.js:4.4.3
-
cpe:2.3:a:nodejs:node.js:4.4.4
-
cpe:2.3:a:nodejs:node.js:4.4.5
-
cpe:2.3:a:nodejs:node.js:4.4.6
-
cpe:2.3:a:nodejs:node.js:4.4.7
-
cpe:2.3:a:nodejs:node.js:4.5.0
-
cpe:2.3:a:nodejs:node.js:6.0.0
-
cpe:2.3:a:nodejs:node.js:6.1.0
-
cpe:2.3:a:nodejs:node.js:6.2.0
-
cpe:2.3:a:nodejs:node.js:6.2.1
-
cpe:2.3:a:nodejs:node.js:6.2.2
-
cpe:2.3:a:nodejs:node.js:6.3.0
-
cpe:2.3:a:nodejs:node.js:6.3.1
-
cpe:2.3:a:nodejs:node.js:6.4.0
-
cpe:2.3:a:nodejs:node.js:6.5.0
-
cpe:2.3:a:nodejs:node.js:6.6.0
-
cpe:2.3:o:suse:linux_enterprise:12.0