La Base de Datos Nacional de Vulnerabilidades de Estados Unidos es vulnerable a un cross-site scripting
La Base de Datos de Vulnerabilidades Nacional de Estados Unidos es una de las fuentes oficiales de información sobre fallos de seguridad que se detectan en diferentes sistemas operativos y software. Los CVE son catalogados y se detalla en qué consiste la vulnerabilidad que se ha descubierto, qué versiones del software están afectadas así como la posible solución a este fallo (si existe) o cómo configurar los equipos para mitigar la vulnerabilidad. Conoce todo sobre para qué sirve un consultor IT y funciones.
Ahora, en la propia web de la NVD (National Vulnerability Database) de EEUU se ha descubierto una vulnerabilidad XSS que podría permitir a un atacante presentar a los usuarios contenido de otras webs de terceros, como por ejmplo una web llena de malware para infectar los equipos de los que visiten el portal, y todo ello como si proviniera de la propia NVD.
Según Paul Moore, consultor de seguridad, este fallo de seguridad representa un riesgo mínimo dependiendo de los visitantes que lleguen al sitio, pero podría dañar la reputación de empresas ya que se podrían añadir CVE falsos indicando que hay un fallo grave de seguridad cuando en realidad no lo hay.
El propio Moore ha grabado un vídeo como prueba de concepto en YouTube donde demuestra este fallo de seguridad, este tipo de fallos XSS y SQL Injection son los más comunes webs. Desde el NIST (Instituto Nacional de Estándares y Tecnología) que se encarga de la NVD han confirmado que este fallo de seguridad ya se ha resuelto. Ya vimos cómo actúa un ataque Cross Site Scripting.
Como podéis ver, ni la base de datos que informa de vulnerabilidades se salva de su propio fallo de seguridad.
Os recomendamos pasaros por nuestra sección de seguridad informática donde encontraréis manuales para proteger vuestros sistemas y también para realizar auditorías.