icon

Vorsicht: Die Allplan-Website pythonparts.allplan.com ist mit Polyfill "infiziert"

Schlagworte:
  • PythonParts
  • API
  • Website
  • Polyfill.io
  • [CVE-1625]
nemo
nemo
27.06.2026 - 08:03 Uhr *

Achtung PythonParts-User,

beim Aufrufen der Python-API-Referenz kommt neuerdings eine Abfrage von polyfill.io, die Zugangsdaten abgreifen will.

Einfach mal "pythonparts.allplan.com" in der Adresszeile eingeben (s. pythonparts01.png)
und dann Enter bringt eine Aufforderung zur Eingabe von Anmeldedaten (s. pythonparts02.png).

Das passiert unabhängig vom Rechner oder verwendeten Browser.
Bei Microsoft Edge sieht die Aufforderung so aus(s.pythonparts03.png)
Beim Aufrufen der Website auf dem Handy (S23+ mit Samsung Browser) kommt die Abfrage hingegen nicht!

Hintergründe zu der Sicherheitslücke findet man durch Google-Anfrage "polyfill.io fordert Anmeldedaten".

Wer Anmeldedaten eingegeben hat, sollte diese schleunigst ändern, sonst wird das Konto mit dieser Anmeldung gehackt!

Wenn man diesen vom Browser initiierten Dialog ohne Eingabe von irgendwelchen Daten mit "Abbrechen" schließt,
kommt man schließlich auf die angeforderte Seite. Die Seite selber ist dann scheinbar sicher, bis zur nächsten Abfrage...

Anhänge (3)

img
pythonparts01.png
Typ: image/png
66-mal heruntergeladen
Größe: 101,09 KiB
img
pythonparts02.png
Typ: image/png
55-mal heruntergeladen
Größe: 28,04 KiB
img
pythonparts03.png
Typ: image/png
48-mal heruntergeladen
Größe: 520,66 KiB

Hilfreichste Antwort anzeigen Hilfreichste Antwort verbergen

jvelletti
jvelletti
29.06.2026 - 14:15 Uhr *

ja, die seite ist gesperrt bis Bart die Stelle im Sourcecode entfernt hat und das deplyoment durchgelaufen ist ist die Domain gesperrt.

Allplan Webentwicklung

Private messages must be private. No support request via Private message.

bertrand_c
bertrand_c
27.06.2026 - 11:35 Uhr *

Hallo Jörg,

Dein Titel ist vielleicht etwas irreführend und könnte den Eindruck erwecken, dass die Allplan-Website nicht ausreichend gesichert ist.
Soweit ich das verstanden habe, ist oder war dieser Dienst „polyfill.io“ in die von Cloudflare angebotenen Dienste integriert. Es handelt sich also nicht um eine „Infektion“.
Er kann in den Cloudflare-Einstellungen deaktiviert werden (was das Team, das die Website betreut, wahrscheinlich tun wird).
Dieser Dienst gehörte ursprünglich der Financial Times, die ihn an ein chinesisches Unternehmen weiterverkauft hat. Seitdem wird er als bösartig eingestuft, obwohl er nach wie vor dasselbe tut: JavaScript-Code im laufenden Betrieb zu ändern. Je nach Eigentümer scheinen die Absichten unterschiedlich zu sein.
Es gibt Alternativen, und das Allplan-Team muss sicherstellen können, dass die Konten und Daten der Nutzer gut geschützt sind.


nemo
nemo
27.06.2026 - 16:40 Uhr *

Dein Titel ist vielleicht etwas irreführend und könnte den Eindruck erwecken, dass die Allplan-Website nicht ausreichend gesichert ist.

Stimmt, "infiziert" ist die Website nicht, d.h. HTML-Code vom Server wurde nicht verändert.
Deshalb steht "infiziert" ja auch in Anführungszeichen.

Es wird "lediglich" durch ein Script-Tag wie
<script src="https://cdn.polyfill.io/v3/polyfill.min.js">
offensichtlich ungeprüfter Javascript-Code eines Drittanbieters ausgeführt.

Das dieser nur einen in diesem Kontext nicht sehr sinnvollen Phishing-Versuch ausführt, könnte man als "Glücksfall" bezeichnen.
Das Script-Tag polyfill.io könnte auch andere, wirklich böse Sachen machen bzw. es versuchen.

Die Sicherheitslücke besteht darin, dass das Script-Tag polyfill.io überhaupt noch im Code der Website vorhanden ist, obwohl bereits am 25.Juni 2024 von Sicherheitsforschern von Sansec nachgewiesen und davor gewarnt wurde, dass polyfill.io Schadcode verbreitet bzw. Phishing-Attaken ausführt. (Die Schwachstelle erhielt die Kennung CVE-2024-38526)
Hinzu kommt: Moderne Browser brauchen diese Polyfills nicht mehr, und diese Codezeile beizubehalten bedeutet, einem externen Dienst die Erlaubnis zu geben, beliebigen JavaScript-Code auf der Seite auszuführen.

jvelletti
jvelletti
29.06.2026 - 06:51 Uhr

Die zuständigen Entwickler kümmern sich.

Allplan Webentwicklung

Private messages must be private. No support request via Private message.

jvelletti
jvelletti
29.06.2026 - 06:59 Uhr

das gemeine ist:

die Abfrage erscheint bei uns nicht und darum fällt das keinem auf :-(

(Grund dürfte sein: bei unseren Office Rechnern ist ein Internet Filter installiert, der das Script gar nicht erst läd. und versuch ich die Domain so aufzurufen, , kommt ein netzwerk fehler

Allplan Webentwicklung

Private messages must be private. No support request via Private message.

Anhänge (1)

img
polyfil.io.png
Typ: image/png
25-mal heruntergeladen
Größe: 13,72 KiB
bertrand_c
bertrand_c
29.06.2026 - 11:22 Uhr

Hi Jörg,

Das ist das Ergebnis, das ich jetzt erhalte...


Anhänge (1)

img
2026-06-29_13h20_02.png
Typ: image/png
20-mal heruntergeladen
Größe: 3,92 KiB
jvelletti
jvelletti
29.06.2026 - 14:15 Uhr * [Hilfreichste Antwort]

ja, die seite ist gesperrt bis Bart die Stelle im Sourcecode entfernt hat und das deplyoment durchgelaufen ist ist die Domain gesperrt.

Allplan Webentwicklung

Private messages must be private. No support request via Private message.

sh0210
sh0210
29.06.2026 - 14:59 Uhr

Vielleicht könnt Ihr dann in der Entwicklung doch auch nochmal wegen meiner Troyaner Meldung von letzter Woche schauen.
Who knows....

Gruß´

Stefan