La vulnerabilidad XSS afecta a los sitios web gubernamentales
Una vulnerabilidad no revelada de Cross-Site Scripting (XSS) en Apache Velocity Tools puede ser explotada por atacantes no autenticados para atacar sitios gubernamentales, incluida la NASA, BleepingComputer informó hoy.
Aunque han transcurrido 90 días desde que se informó y reparó la vulnerabilidad, BleepingComputer no tiene conocimiento de una divulgación formal realizada por el proyecto. Sakura Samurai El grupo de piratería ética había descubierto e informado por primera vez la vulnerabilidad a Apache a principios de octubre de 2020.
Aunque el proyecto había reconocido el informe de Henry y emitió una solución públicamente visible en GitHub el 5 de noviembre de 2020, nunca se llevó a cabo una divulgación pública adecuada que dejó Sakura Samurai investigadores interesados.
Al comentar sobre la noticia, Craig Young, investigador principal de seguridad en Tripwire, explicó:
La vulnerabilidad en cuestión es un caso de secuencias de comandos entre sitios reflejadas. Con este tipo de debilidad, el atacante prepara un enlace malicioso y debe convencer a las víctimas de que carguen este enlace de dirección maliciosa en sus navegadores.
El impacto de una secuencia de comandos entre sitios reflejada generalmente varía en función de si la víctima de un ataque se autenticó en el sitio afectado. Si un usuario que inició sesión carga una URL de ataque, el atacante podrá realizar acciones en el sitio afectado utilizando la cuenta de la víctima.
Además de usar secuencias de comandos entre sitios para la escalada de privilegios, un atacante podría usar esta vulnerabilidad para falsificar contenido en sitios vulnerables. Por ejemplo, alguien que busque difundir teorías de conspiración en línea podría preparar enlaces que hagan parecer que los sitios web oficiales del gobierno están confirmando teorías de conspiración locas. También es posible imaginar otros ataques más dirigidos que aprovechen este estilo de ataque de suplantación de identidad.