La versión en línea de Clarín, el periódico más importante de Latinoamérica, posee una grave vulnerabilidad en su buscador interno.

Cuando ingresamos un término de búsqueda, la URL generada dinámicamente incluye a la palabra en cuestión. Pero si la reemplazamos por una línea de código en caracteres HEX y no ASCII, se podrá alterar la página de resultados.

Así, es posible -por ejemplo- incluir un texto o imagen con un link hacia otro sitio. Esto resulta muy viable como técnica de “black SEO”, pues al linkear a esa página, Google y otros buscadores podrán considerarla como un link natural desde Clarín hacia otro.

Quien descubrió dicha vulnerabilidad aún no probó inyectar código JavaScript, pero lo considera factible. En este caso la situación sería bastante más peligrosa.

Las siguientes capturas prueban que el agujero es real:

Fuente: Seología