XSS-Lücke gefährdet Millionen Nutzer von Wix.com

Eine Cross-Site-Scripting-Lücke (XSS) auf der Publishing-Plattform Wix.com hat Millionen Nutzer gefährdet. Das Unternehmen bietet eine Art von Website-Baukasten und zugleich das Hosting der per Drag and drop erstellten Sites an. Nach seinen eigenen Angaben verfügt es über zwei Millionen Abonnenten sowie 86 Millionen auf der Plattform registrierte Nutzer.

Entdeckt wurde die Lücke von Matt Austin, einem bei Contrast Security tätigen Sicherheitsforscher. Er versuchte zunächst Wix.com vertraulich über die Gefährdung zu informieren. Auf seine E-Mails hin erhielt er jedoch nur nichtssagende und hinhaltende Antworten, die ihm den Eindruck vermittelten, dass es dort gar keinen Ansprechpartner für Sicherheitsprobleme gibt. Er veröffentlichte daher am 2. November seine Erkenntnisse über die Sicherheitslücke und dokumentierte dazu auch seine Versuche seit dem 10. Oktober, mit Sicherheitsbeauftragten des Hosting-Providers in Verbindung zu kommen.

Austin beschrieb mögliche Angriffsszenarios. So könnte der Betreiber einer Wix-Website zum Besuch einer bösartigen URL bewegt werden, um mit einem präparierten JavaScript dessen Browsersitzung zu übernehmen. Der Angreifer könnte sodann jegliche Aktionen als dieser authentifizierte Nutzer durchführen – beispielsweise eine von diesem betriebene Website verändern, Website-Administrationsrechte Dritten zukommen lassen oder eine auf der Plattform gehostete E-Commerce-Site infiltrieren, um Kreditkartendaten zu entwenden.

„Die administrative Kontrolle einer Wix.com-Site könnte für eine breite Verteilung von Malware genutzt werden“, schrieb der Sicherheitsforscher. Eine ausgeweitete Attacke könnte außerdem einen Wurm ermöglichen, der sich schließlich über Millionen von Wix.com-Sites verbreitet.

Einen Tag nach der Veröffentlichung reagierte schließlich auch der Plattformbetreiber. „Wir nehmen die Sicherheit unserer Kunden sehr ernst“, sagte Wix.com-Sprecher Matt Rosenberg. „Nach gründlicher Untersuchung können wir feststellen, dass das Problem behoben wurde. Wir betreiben ein offizielles Bug-Prämien-Programm und unternehmen Schritte, um die Community auszuweiten.“

In die Kritik kam Wix.com vor Kurzem auch wegen der Übernahme von Open-Source-Code, der von WordPress entwickelt wurde, ohne den GPL-Lizenzbedingungen zu entsprechen. In einem Blogeintrag warf WordPress-Mitinitiator und Automattic-CEO Matt Mullenweg dem Unternehmen vor, seinen Editor mit gestohlenem Code geschaffen zu haben. „Wix hat immer freizügige Anleihen bei WordPress gemacht – einschließlich dem Firmennamen, der Wixpress Ltd war“, schrieb er. „Aber dieses dreiste Abzocken und der Code-Diebstahl geht weit über alles hinaus, was mir jemals bei einem Konkurrenten untergekommen ist.“

[mit Material von Charlie Osborne, ZDNet.com]