Siga o Suporte Ninja por email

sexta-feira, 19 de junho de 2015

National Vulnerability Database (NVD) estava vulnerável ​​a cross-site scripting (XSS)



National Vulnerability Database (NVD) estava vulnerável ​​a cross-site scripting (XSS)







Descobriu-se que a US National Vulnerability Database (NVD) estava vulnerável ​​a cross-site scripting (XSS) na semana passada.


O National Vulnerability Database (NVD) serve como uma fonte definitiva de informações sobre falhas de segurança CVE. A vulnerabilidade XSS significava que um hacker habilidoso poderia injetar códigos nos navegadores de quem navegava no site para redirecionar o trafego para conteúdo de sites de terceiros com códigos maliciosos, e isso tudo acontecendo dentro do site da da própria NVD.

Consultor de segurança Paul Moore, que trouxe a questão à nossa atenção, disse a El Reg que a questão apresentava “risco mínimo”, dependendo de como carga atinge o local, mas poderia prejudicar a reputação/bem-estar financeiro de empresas com CVEs falsos”.


Moore montou um vídeo prova-de-conceito YouTube, demonstrando a falha XSS e SQL Injection que se encontram no topo das paradas de sucesso dos vulnerabilidades/ataques mais populares da internet mais comuns na internet.


Em resposta a um pedido de comentário de El Reg, um representante do NIST (Instituto Nacional de Padrões e Tecnologia – a organização que executa o site da National Vulnerability Database (NVD)) disse que o problema foi corrigido:

O National Vulnerability Database (NVD) teve um problema onde ele não corretamente limpar a entrada recebida do NVD e sistemas de parceiros. A questão já foi resolvida e Common Vulnerabilities and Exposures (AVCs) agora são exibidos corretamente.