Updates verfügbar: Cross-Site-Scripting-Lücke in Webtrekk Pixel
Ein regulärer Ausdruck in einigen Versionen des Tracking-Scripts "Pixel" des Herstellers Webtrekk prüft nicht alles, was er sollte. Mögliches Cross-Site-Scripting ist die Folge; gepatchte Versionen stehen bereit.
(Bild: pixabay.com)
Die Web-Tracking-Komponente Webtrekk Pixel weist in einigen Versionen eine Schwachstelle auf, die für Cross-Site-Scripting-Angriffe missbraucht werden könnte. Darauf weist das IT-Sicherheitsunternehmen SEC Consult in einem Sicherheitshinweis hin. Anfällig seien die Versionen 3.2.6, 4.0.5, 4.3.5 und 4.3.9.
Die von SEC Consult mit der Einstufung "Medium" versehene Lücke steckt in einem regulären Ausdruck, der die Übergabe nicht vorgesehener URLs erlaubt. Diese könnten von einem Angreifer registriert werden, um anschließend JavaScript-Code im Kontext der verwundbaren Webseite auszuführen. Laut Hersteller ist dieselbe Lücke auch mittels manipulierter Cookies ausnutzbar. Weitere Details sind SEC Consults Sicherheitshinweis zu entnehmen.
Webtrekk rät zum umgehenden Upgrade auf eine der gepatchten Webtrekk-Pixel-Versionen 3.41, 4.41 oder 5.05. Diese stehen laut Hersteller für registrierte Kunden im Support-Center bereit. Als temporären Workaround schlägt SEC Consult das Setzen des Werts "disableOverlayView: true" in der webtrekkConfig vor. (ovw)
