Ahora, en la propia web de la NVD (National Vulnerability Database) de EEUU se ha descubierto una vulnerabilidad XSS (cross-site scripting ) que podría permitir a un atacante presentar a los usuarios contenido de otras webs de terceros, como por ejmplo una web llena de malware para infectar los equipos de los que visiten el portal, y todo ello como si proviniera de la propia NVD.
La Base de Datos de Vulnerabilidades Nacional de Estados
Unidos es una de las fuentes oficiales de información sobre fallos de seguridad
que se detectan en diferentes sistemas operativos y software. Los CVE son
catalogados y se detalla en qué consiste la vulnerabilidad que se ha
descubierto, qué versiones del software están afectadas así como la posible
solución a este fallo (si existe) o cómo configurar los equipos para mitigar la
vulnerabilidad.
Según Paul Moore, consultor de seguridad, este fallo de
seguridad representa un riesgo mínimo dependiendo de los visitantes que lleguen
al sitio, pero podría dañar la reputación de empresas ya que se podrían añadir
CVE falsos indicando que hay un fallo grave de seguridad cuando en realidad no
lo hay.
El propio Moore ha grabado un vídeo como prueba de concepto en
YouTube donde demuestra este fallo de seguridad, este tipo de fallos XSS y SQL
Injection son los más comunes webs. Desde el NIST (Instituto Nacional de
Estándares y Tecnología) que se encarga de la NVD han confirmado que este fallo
de seguridad ya se ha resuelto.
Fuente: The Register