Hotjar: XSS Schwachstelle in OAuth betraf über 1 Mio Webseiten

Salt Labs hat in seinem Blogpost demonstriert, wie durch die Kombination von XSS mit OAuth neue Exploit-Möglichkeiten entstehen. Die Schwachstelle betraf auch die beliebte Plattform Hotjar, die mit über 1 Mio Websiten verbunden ist.

Hotjar, eine Plattform zur Analyse von Benutzerinteraktionen, war von einer XSS-Schwachstelle betroffen, die es Angreifern ermöglichte, über OAuth Zugangsdaten zu stehlen. Trotz umfassender Sicherheitsmaßnahmen war es möglich, über eine präparierte URL JavaScript-Code auszuführen und OAuth-Tokens auszulesen, die dann für Account-Übernahmen genutzt werden konnten.

Die Schwachstelle in Hotjar ist mittlerweile geschlossen, es ist aber anzunehmen, dass weitere prominente Anbieter ähnliche Schwachstellen aufweisen.

Related Posts

Datenleck bei Pinterest betrifft 60 Mio Datensätze

Am 15. Juli 2024 berichtete cyberpress.org über ein mögliches Datenleck bei Pinterest, bei dem angeblich 60 Millionen Datensätze von Nutzern veröffentlicht wurden. Der Hacker “Tchao1337” behauptet, eine Datenbank mit E-Mail-Adressen, Benutzernamen, Benutzer-IDs und IP-Adressen auf einem Datenleck-Forum hochgeladen zu haben.

Read More

VMware ESXi: Schwachstelle erlaubt vollen ESXi Host Zugriff

VMware hat Updates für VMware ESXi und vCenter Server veröffentlicht, um mehrere Sicherheitslücken zu beheben (CVE-2024-37085, CVE-2024-37086, CVE-2024-37087). Diese Schwachstellen wurden am 25. Juni 2024 erstmals gemeldet und betreffen die Produkte VMware Cloud Foundation, VMware ESXi und VMware vCenter Server. Eine Privilege Escalation Schwachstelle ist dabei besonders prekär, denn Sie erlaubt unter Umständen Vollzugriff auf das Host System.

Read More

Telerik Report Server RCE Sicherheitslücke erfordert sofortiges patchen

Im Juli 2024 wurde die kritische RCE Sicherheitslücke CVE-2024-6327 entdeckt, die Progress Telerik Report Server-Versionen vor 2024 Q2 (10.1.24.709) betrifft. Die Schwachstelle hat CVSS-Bewertung von 9.9/10 und wurde am 24. Juli 2024 veröffentlicht. Sie ermöglicht eine Remote-Code-Ausführung durch unsichere Deserialisierung von nicht vertrauenswürdigen Daten (CWE-502).

Read More