Hace más de un mes se reportaron 3 vulnerabilidades al Servicio de Impuestos Internos, las cuales han sido corregidas con éxito, aunque se han demorado en responder. En primera instancia las vulnerabilidades fueron reportadas y no se obtuvo una solución hasta luego de 1 mes, sin embargo, aparecieron otras 2 vulnerabilidades que fueron solucionadas horas despues de haberlas publicado.
Las nuevas vulnerabilidades corresponden a la número #2251 y #2252, una del tipo XSS y otra CSRF. Para explotar la vulnerabilidad hay que enviar mediante POST tres variables: opcion, flagLlamada y periodo. Cuando enviamos un valor, la URL de destino genera un código javascript similar a:
Por ejemplo, en la línea 5 recibe el valor que se envía por post mediante la variable «periodo», si le enviamos el valor «; alert(/test/);// el código quedaría así:
Logrando con éxito la inyección de código javascript.
La vulnerabilidad XSS ya ha sido corregida, pero aún falta el trabajo de utilizar CSRF Tokens en los formularios.