Un reciente reporte de ciberseguridad detalla la detección de una severa vulnerabilidad en los servicios CVE para la identificación, definición y catálogo de las vulnerabilidades de ciberseguridad divulgadas públicamente. Según el reporte, la explotación de esta falla en CVEProject permitiría a los actores de amenazas desplegar peligrosas tareas de hacking.
Identificada como CVE-2022-24875, la vulnerabilidad existe debido al registro de secretos de usuario por parte del código org.conroller.js, lo que permitiría a los actores de amenazas remotos acceder a información confidencial del sistema sin autorización.
La falla recibió un puntaje de 4.9/10 según el Common Vulnerability Scoring System (CVSS) y, hasta el momento, no se conocen parches de seguridad o soluciones alternativas para su mitigación.
Según el reporte, la vulnerabilidad reside en todas las versiones de los servicios CVE entre 1.0.0 y 1.1.1.
Si bien las fallas podrían ser explotadas por actores de amenazas remotos no autenticados, hasta el momento no se han identificado intentos de explotación activa. Aún así, el hecho de que la falla no haya recibido actualizaciones es preocupante y obliga a los usuarios de implementaciones afectadas a mantenerse alertas ante el riesgo de explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).