Onderzoekers van Novee Security hebben een ernstige kwetsbaarheid onthuld in Pretalx, een open source platform dat wereldwijd wordt gebruikt voor call-for-papers (CFP) en het plannen van technische conferenties. De kwetsbaarheid, geregistreerd als CVE-2026-41241 en gekwalificeerd als een stored cross-site scripting (XSS) probleem, stelde elke geregistreerde spreker in staat om kwaadaardige code te plaatsen die automatisch werd uitgevoerd zodra een organisator naar de betreffende inzending zocht.

Deze kwetsbaarheid is inmiddels verholpen in Pretalx versie 2026.1.0. Omdat tientallen hooggewaardeerde technische conferenties dezelfde Pretalx-codebasis gebruiken, kon een enkele aanvalsmethode gelijktijdig op alle implementaties worden ingezet. Een aanvaller kon een met malware beladen voorstel indienen bij meerdere conferenties, wachten tot organisatoren hun inzendingen doorzochten en zo zonder verdere interactie de accounts van organisatoren compromitteren.

Hoewel de beveiligingsmechanismen van het platform en de browser zelf ontworpen zijn om ongeautoriseerde scripts te blokkeren, vonden de onderzoekers een manier om deze verdedigingslagen te omzeilen. Door onschuldige platformfuncties te combineren, zoals het uploaden van sprekersmateriaal en de weergave van zoekresultaten, ontstond een keten die volledige JavaScript-uitvoering in de browser van de organisator mogelijk maakte.

De impact van deze kwetsbaarheid kan leiden tot een 100% acceptatiegraad van ingediende talks. Theoretisch kan een aanvaller, ondersteund door een AI-agent, automatisch voorstellen indienen bij alle evenementen die Pretalx gebruiken, kwaadaardige payloads in titels verwerken met veelvoorkomende zoektermen en wachten tot organisatoren hun zoekopdrachten uitvoeren, waardoor de talks zonder echte beoordeling worden goedgekeurd. Novee Security toonde dit scenario aan als proof of concept om het misbruikpotentieel in de praktijk te illustreren.