Categories: Sicherheit

XSS-Lücke gefährdet Millionen Nutzer von Wix.com

Eine Cross-Site-Scripting-Lücke (XSS) auf der Publishing-Plattform Wix.com hat Millionen Nutzer gefährdet. Das Unternehmen bietet eine Art von Website-Baukasten und zugleich das Hosting der per Drag and drop erstellten Sites an. Nach seinen eigenen Angaben verfügt es über zwei Millionen Abonnenten sowie 86 Millionen auf der Plattform registrierte Nutzer.

Entdeckt wurde die Lücke von Matt Austin, einem bei Contrast Security tätigen Sicherheitsforscher. Er versuchte zunächst Wix.com vertraulich über die Gefährdung zu informieren. Auf seine E-Mails hin erhielt er jedoch nur nichtssagende und hinhaltende Antworten, die ihm den Eindruck vermittelten, dass es dort gar keinen Ansprechpartner für Sicherheitsprobleme gibt. Er veröffentlichte daher am 2. November seine Erkenntnisse über die Sicherheitslücke und dokumentierte dazu auch seine Versuche seit dem 10. Oktober, mit Sicherheitsbeauftragten des Hosting-Providers in Verbindung zu kommen.

Austin beschrieb mögliche Angriffsszenarios. So könnte der Betreiber einer Wix-Website zum Besuch einer bösartigen URL bewegt werden, um mit einem präparierten JavaScript dessen Browsersitzung zu übernehmen. Der Angreifer könnte sodann jegliche Aktionen als dieser authentifizierte Nutzer durchführen – beispielsweise eine von diesem betriebene Website verändern, Website-Administrationsrechte Dritten zukommen lassen oder eine auf der Plattform gehostete E-Commerce-Site infiltrieren, um Kreditkartendaten zu entwenden.

„Die administrative Kontrolle einer Wix.com-Site könnte für eine breite Verteilung von Malware genutzt werden“, schrieb der Sicherheitsforscher. Eine ausgeweitete Attacke könnte außerdem einen Wurm ermöglichen, der sich schließlich über Millionen von Wix.com-Sites verbreitet.

Einen Tag nach der Veröffentlichung reagierte schließlich auch der Plattformbetreiber. „Wir nehmen die Sicherheit unserer Kunden sehr ernst“, sagte Wix.com-Sprecher Matt Rosenberg. „Nach gründlicher Untersuchung können wir feststellen, dass das Problem behoben wurde. Wir betreiben ein offizielles Bug-Prämien-Programm und unternehmen Schritte, um die Community auszuweiten.“

In die Kritik kam Wix.com vor Kurzem auch wegen der Übernahme von Open-Source-Code, der von WordPress entwickelt wurde, ohne den GPL-Lizenzbedingungen zu entsprechen. In einem Blogeintrag warf WordPress-Mitinitiator und Automattic-CEO Matt Mullenweg dem Unternehmen vor, seinen Editor mit gestohlenem Code geschaffen zu haben. „Wix hat immer freizügige Anleihen bei WordPress gemacht – einschließlich dem Firmennamen, der Wixpress Ltd war“, schrieb er. „Aber dieses dreiste Abzocken und der Code-Diebstahl geht weit über alles hinaus, was mir jemals bei einem Konkurrenten untergekommen ist.“

[mit Material von Charlie Osborne, ZDNet.com]

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

10 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago