Categories: Sicherheit

XSS-Lücke gefährdet Millionen Nutzer von Wix.com

Eine Cross-Site-Scripting-Lücke (XSS) auf der Publishing-Plattform Wix.com hat Millionen Nutzer gefährdet. Das Unternehmen bietet eine Art von Website-Baukasten und zugleich das Hosting der per Drag and drop erstellten Sites an. Nach seinen eigenen Angaben verfügt es über zwei Millionen Abonnenten sowie 86 Millionen auf der Plattform registrierte Nutzer.

Entdeckt wurde die Lücke von Matt Austin, einem bei Contrast Security tätigen Sicherheitsforscher. Er versuchte zunächst Wix.com vertraulich über die Gefährdung zu informieren. Auf seine E-Mails hin erhielt er jedoch nur nichtssagende und hinhaltende Antworten, die ihm den Eindruck vermittelten, dass es dort gar keinen Ansprechpartner für Sicherheitsprobleme gibt. Er veröffentlichte daher am 2. November seine Erkenntnisse über die Sicherheitslücke und dokumentierte dazu auch seine Versuche seit dem 10. Oktober, mit Sicherheitsbeauftragten des Hosting-Providers in Verbindung zu kommen.

Austin beschrieb mögliche Angriffsszenarios. So könnte der Betreiber einer Wix-Website zum Besuch einer bösartigen URL bewegt werden, um mit einem präparierten JavaScript dessen Browsersitzung zu übernehmen. Der Angreifer könnte sodann jegliche Aktionen als dieser authentifizierte Nutzer durchführen – beispielsweise eine von diesem betriebene Website verändern, Website-Administrationsrechte Dritten zukommen lassen oder eine auf der Plattform gehostete E-Commerce-Site infiltrieren, um Kreditkartendaten zu entwenden.

„Die administrative Kontrolle einer Wix.com-Site könnte für eine breite Verteilung von Malware genutzt werden“, schrieb der Sicherheitsforscher. Eine ausgeweitete Attacke könnte außerdem einen Wurm ermöglichen, der sich schließlich über Millionen von Wix.com-Sites verbreitet.

Einen Tag nach der Veröffentlichung reagierte schließlich auch der Plattformbetreiber. „Wir nehmen die Sicherheit unserer Kunden sehr ernst“, sagte Wix.com-Sprecher Matt Rosenberg. „Nach gründlicher Untersuchung können wir feststellen, dass das Problem behoben wurde. Wir betreiben ein offizielles Bug-Prämien-Programm und unternehmen Schritte, um die Community auszuweiten.“

In die Kritik kam Wix.com vor Kurzem auch wegen der Übernahme von Open-Source-Code, der von WordPress entwickelt wurde, ohne den GPL-Lizenzbedingungen zu entsprechen. In einem Blogeintrag warf WordPress-Mitinitiator und Automattic-CEO Matt Mullenweg dem Unternehmen vor, seinen Editor mit gestohlenem Code geschaffen zu haben. „Wix hat immer freizügige Anleihen bei WordPress gemacht – einschließlich dem Firmennamen, der Wixpress Ltd war“, schrieb er. „Aber dieses dreiste Abzocken und der Code-Diebstahl geht weit über alles hinaus, was mir jemals bei einem Konkurrenten untergekommen ist.“

[mit Material von Charlie Osborne, ZDNet.com]

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago