Korrekt ist, dass wir hier auf der login.petafuel.net über einen ungeprüften Parameter eine Lücke hatten, die ein XSS ermöglicht hat. Jedoch möchten wir betonen, dass nach aktuellem Kenntnisstand kein Session-Hijacking möglich war.