Beim Bestellportal lieferando.de gibt es, laut diesem Bericht eine gravierende XSS-Sicherheitslücke, über die Benutzerdaten abfließen können. Entdeckt hat die Lücke der Sicherheitsforscher Robert Kugler. Er wandte sich an heise Security, nachdem er das Unternehmen vor über einem Monat kontaktiert hatte und bislang keine zufriedenstellende Rückmeldung erhalten hat (siehe heise.de-Artikel).
Julian Totzek-Hallhuber von Veracode schreibt zur Lücke: Über entsprechenden Code können Angreifer über die XSS-Lücke auf Benutzerdaten zugreifen und ggf. auch den Account des Angegriffenen übernehmen. Nachtrag: Laut heise.de ist diese Sicherheitslücke durch Lieferando zwischenzeitlich geschlossen.
Anzeige