Die Plattform verfügt über Schutzmechanismen, die das Ausführen nicht autorisierter Skripte verhindern sollen, und auch der Browser selbst sollte eingeschleusten Code unterdrücken. Die Forscher von Novee Security fanden jedoch einen Weg, beide Verteidigungslinien zu umgehen.
Dazu kombinierten sie für sich genommen harmlose Funktionen der Plattform zu einer Angriffskette: konkret die Möglichkeit, Materialien als Vortragende hochzuladen, und die Art, wie Suchergebnisse angezeigt werden. In Verbindung ermöglichten diese Funktionen die vollständige Ausführung von JavaScript im Browser eines Organisators.
Der Schadcode wurde laut Novee unbemerkt aktiv, sobald ein Veranstalter nach der Einreichung des Angreifers suchte – ohne dass weitere Interaktion nötig war. Weil dutzende prominente Technikkonferenzen dieselbe Pretalx-Codebasis nutzen, ließe sich derselbe Angriff parallel gegen alle Installationen einsetzen.
Die Auswirkungen reichen bis zu einer Annahmequote von 100 Prozent für Vorträge. Ein Angreifer, der die Schwachstelle mit einem KI-Agenten kombiniert, könnte theoretisch Einreichungen bei sämtlichen Pretalx-gestützten Veranstaltungen automatisieren, die Schadnutzlast in Vortragstitel mit gängigen Suchbegriffen einbetten und darauf warten, dass die Suchanfragen der Organisatoren den Exploit auslösen. Auf diese Weise ließen sich die eigenen Vorträge ohne echte Begutachtung zur Annahme zwingen.
Novee demonstrierte dieses Szenario als Proof of Concept, um das tatsächliche Missbrauchspotenzial zu veranschaulichen. Die Schwachstelle wurde in Pretalx-Version 2026.1.0 behoben.
