Servicio de Impuestos Internos soluciona 1 de 5 vulnerabilidades reportadas

Hace más de un mes se reportaron 3 vulnerabilidades al Servicio de Impuestos Internos, las cuales han sido corregidas con éxito, aunque se han demorado en responder. En primera instancia las vulnerabilidades fueron reportadas y no se obtuvo una solución hasta luego de 1 mes, sin embargo, aparecieron otras 2 vulnerabilidades que fueron solucionadas horas despues de haberlas publicado.

Las nuevas vulnerabilidades corresponden a la número #2251 y #2252, una del tipo XSS y otra CSRF. Para explotar la vulnerabilidad hay que enviar mediante POST tres variables: opcion, flagLlamada y periodo. Cuando enviamos un valor, la URL de destino genera un código javascript similar a:

Por ejemplo, en la línea 5 recibe el valor que se envía por post mediante la variable «periodo», si le enviamos el valor «; alert(/test/);// el código quedaría así:

Logrando con éxito la inyección de código javascript.

La vulnerabilidad XSS ya ha sido corregida, pero aún falta el trabajo de utilizar CSRF Tokens en los formularios.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.