Trotz aller Initiativen zur sicheren Software-Entwicklung sind Cross-Site-Scripting, kurz XSS-Lücken weiterhin verbreitet. Die Helpdesk-Software Deskpro, welche die Security-Experten von Checkmarx unter die Lupe genommen haben, ist ein gutes Beispiel dafür.
Über eine XSS-Schwachstelle in der Helpdesk-Software Deskpro konnte Checkmarx unter anderem Admin-Sitzungen zu übernehmen.
Im Zuge der Corona-Pandemie und der Verlagerung von Arbeitsplätzen ins Homeoffice steigt die Nachfrage nach smarten Helpdesk- und Collaboration-Lösungen rasant. Mit Blick auf diesen Boom entschied sich das Checkmarx Security Research Team, die Sicherheit von Deskpro zu überprüfen.
Dabei entdeckten die Security-Experten in der weltweit verbreiteten Lösung eine gefährliche Cross-Site-Scripting-Schwachstelle. Cyberkriminelle hätten diese gleich auf mehreren Wegen ausnutzen können, um die Sitzungen von Administratoren zu kapern oder die Konten von Helpdesk-Agents zu übernehmen.
Die Schwachstelle im Überblick
Angreifer konnten eine XSS-Schwachstelle in Deskpro ausnutzen, um Code im Browser des infiltrierten Unternehmens ausführen und so das Session-Token des Administrators oder Support-Mitarbeiters herauszufiltern. Mit diesem Token in der Hand konnten sie in der Rolle (und mit den Rechten) des jeweiligen Users nahezu beliebige Aktionen ausführen. So war es Kriminellen etwa möglich, Kundendaten auszulesen, zu manipulieren oder zu löschen.
Szenario 1: Übernahme von Admin-Sessions
Als Helpdesk-Lösung trackt Deskpro bei jeder Session die Aktivitäten des Anwenders und überträgt die zwischen dem Support-Mitarbeiter und dem Client gesammelten Daten in einer Payload. Diese enthält verschiedene Details zu besuchten Seiten, etwa deren URL, Seitentitel sowie die Seite, von der der Benutzer kam. Mit diesen Daten erstellt Deskpro anschließend Statistiken, die den Administratoren über das integrierte Dashboard „Ticket Insight“ zur Verfügung stehen.
Genau an diesem Punkt konnten Cyberkriminelle ihren Hebel ansetzen, indem sie unbemerkt beliebigen Code in eine sogenannte „request page title“-Abfrage einfügen. Die Daten werden dann in der Deskpro-Datenbank gespeichert und werden immer dann geladen, wenn das Widget „Top KB Views“ gerendert wird. In diesem Fall wird der Code im Kontext des Browsers ausgeführt und ein modales Dialogfeld im Admin-Backend angezeigt.
Angreifer können diese Funktion natürlich leicht ausnutzen, indem sie Schadcode in Anfragen einbetten und das Session-Token des Administrators auf einen von ihnen kontrollierten Server leiten. Das funktioniert, obwohl das Sitzungs-Cookie die httpOnly Flag hat – denn sein Wert ist auch über JavaScript verfügbar, indem auf die globale, fest codierte Variable DESKPRO_SESSION_CODE zugegriffen wird.
Haben die Angreifer den Sitzungscode des Administrators ausgespäht, können sie ihn in ihrem eigenen Browser platzieren und in der Rolle und mit den Rechten des Admins unbefugt Aktionen ausführen. Auf diese Weise erlangen sie Zugriff auf das gesamte System – auf Kundendaten, Eingaben von Agents (Tickets, CRM usw.) sowie auf die Systemkonfiguration (z. B. SMTP-Server-Anmeldeinformationen). In bestimmen Konstellationen sind sie sogar in der Lage, den Helpdesk vollständig zurückzusetzen und alle Systemdaten zu löschen.
Szenario 2: Missbrauch von Supporter-Accounts
Die Checkmarx Experten haben aber noch einen weiteren Weg gefunden, wie sich Kriminelle Zugriff auf eine Deskpro-Instanz verschaffen können – in diesem Fall mit den Agent-Rechten eines Supporters. Auch dazu wird wie beim zuvor beschriebenen „Admin-Hack“ eine Payload mit Schadcode in der Deskpro-Datenbank eingeschleust.
Öffnet der Agent ein Dashboard mit dem Widget „Top KB-Ansichten“ (z. B. das eingebaute Dashboard „Ticket Insights“), wird das Skript ausgeführt. Nach dieser Ausführung fügt das Schad-Skript dem Konto des Agents ohne dedizierte Warnmeldung automatisch eine zweite, vom Angreifer kontrollierte E-Mail-Adresse hinzu. Das erforderliche Anfrage-Token kann der globalen Variable DP_REQUEST_TOKEN entnommen werden.
Um das Konto des Support-Agents zu kapern, geht der Angreifer anschließend auf die Anmeldeseite des Agents. Dort löst er die Kennwort-Wiederherstellung aus und gibt seine eigene E-Mail-Adresse an, die zuvor über die manipulierte Payload eingeschleust worden ist. Der Angreifer erhält so eine E-Mail mit einem Link zum Zurücksetzen des Kennworts in seinen Posteingang.
Danach ist er in der Lage, auf das Konto des Agents zuzugreifen und Aktionen in dessen Namen auszuführen. Dazu muss der Angreifer lediglich die ursprüngliche E-Mail-Adresse des regulären Supporters entfernen, um seine Adresse zur primären Adresse machen. Für den legitimen Agent ist es danach nicht mehr möglich, die Kontrolle über das Konto zurückzugewinnen.
Wie sich Software-Anbieter vor XSS schützen können
Einen Schutz vor den beschriebenen Infiltrationen bietet nur eine korrekte Datenkodierung/Escaping entsprechend dem Ausgabekontext, typischerweise bevor sie mit Markup-Vorlagen zusammengeführt oder an das Document Object Model (DOM) angehängt werden. Ist der Einsatz von Inline-Skripten unvermeidlich, sollten sogenannte kryptografische Nonces verwendet werden, um für die erforderlichen Inline-Skripte eine dedizierte Erlaubnis-Liste zu erstellen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Darüber hinaus empfiehlt es sich, Benutzer in einigen Fällen erneut zu authentifizieren, etwa wenn sie sensible Aktionen durchführen. Dazu zählt beispielsweise das Ändern von E-Mail-Adressen, die mit einem Konto verbunden sind. Der Kontobesitzer sollte in Echtzeit über derartige Änderungen informiert werden. So kann er bei verdächtigen Aktivitäten direkt und damit rechtzeitig handeln.
Behebung der Schwachstelle in Rekordzeit
Nachdem die Experten von Checkmarx die Schwachstelle entdeckt und validiert hatten, informierten sie Deskpro am 31. Oktober 2020 und unterstützten den Helpdesk-Anbieter dabei, die Schwachstelle zu beheben. Deskpro hat in Rekordzeit mit einem Patch reagiert, der die beschriebenen Lücken schloss: Am 9. November 2020 war das Problem gelöst.
Christopher Brennan
(Bild: Checkmarx)
Obwohl sie so alt wie die Application Security selbst und gut dokumentiert sind, gehören XSS-Schwachstellen nach wie vor zu den am häufigsten übersehenen und gefährlichsten Problemen. Tests der Anwendungssicherheit, wie sie etwa Checkmarx anbietet, sind der Schlüssel zum Aufspüren von XSS-Schwachstellen. Damit sind diese Lösungen unverzichtbar, um sichere Software zu erstellen, einzusetzen und zu warten.
* Dr. Christopher Brennan ist Director DACH bei Checkmarx.
Wortweiser: Deskpro
Die Multichannel-Helpdesk-Software Deskpro steuert die Kundenkommunikation von Unternehmen über multiple Kanäle wie E-Mail, Live-Chat, Voice und Social Media. Sie ist modular aufgebaut und passt sich exakt an die Anforderungen des jeweiligen Unternehmens an. Deskpro läuft wahlweise auf der unternehmenseigenen Server-Infrastruktur oder wird über öffentliche oder private Cloud-Dienste bereitgestellt.
Je nach Ausbaustufe können Unternehmen über das Deskpro-eigene CRM-Modul auch kundenspezifische Daten verwalten. So stehen Servicemitarbeitern bei Anfragen umfassende Informationen zu den jeweiligen Kunden zur Verfügung. Gerade im Zuge der zunehmenden Nutzung von Remote-Arbeitsplätzen wird Deskpro zudem immer häufiger als firmeninternes Kommunikationstool genutzt, mit dem sich Mitarbeiter untereinander austauschen. Damit enthält die multifunktionale Plattform in aller Regel auch eine große Menge unternehmensrelevanter und hochgradig sensibler (Kunden-)Daten.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/74/7c/747cfe61ab2064adc187bffabb385c39/0123711458v5.jpeg "Policies sind eine zentrale Komponente von privacyIDEA. Mit den Richtlinien lässt sich granular jeder Aspekt des Verhaltens des Systems regeln. (Bild: Have a nice day - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/7a/587a5e0cb2ed54b8ea3140614bf55539/0125166953v1.jpeg "Eine kritische Schwachstelle im RDP-Protokoll ermöglicht eine neue Angriffsmethode, die Schutzmaßnahmen bei RDP umgeht. (Bild: © Duminda - stock.adobe.com)")