-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in Microsoft Dynamics
Advisory ID     : NCSC-2020-0710
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2020-16857, CVE-2020-16858, CVE-2020-16859,
                  CVE-2020-16860, CVE-2020-16861, CVE-2020-16862,
                  CVE-2020-16864, CVE-2020-16871, CVE-2020-16872,
                  CVE-2020-16878
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : medium
                  Cross-Site Scripting (XSS)
                  (Remote) code execution (Gebruikersrechten)
Uitgiftedatum   : 20200908
Toepassing      : Microsoft Dynamics 365
                  Microsoft Dynamics 365 for Finance and Operations
Versie(s)       :
Platform(s)     : Microsoft Windows

Beschrijving
   Microsoft verhelpt meerdere kwetsbaarheden in Microsoft Dynamics 365
   producten. De kwetsbaarheden in Microsoft Dynamics 365 (on-premise)
   en Microsoft Dynamics 365 for Finance and Operations (on-premise)
   stelt een kwaadwillende in staat om willekeurige code of om een
   Cross-Site Scripting (XSS)-aanval uit te voeren.

   De kwetsbaarheden met de kenmerken CVE-2020-16857 en CVE-2020-16862
   zijn door Microsoft als kritiek gecategoriseerd. De kwetsbaarheid
   met kenmerk CVE-2020-16857 stelt een kwaadwillende in staat om via
   server-side script executie code uit te voeren op het kwetsbare
   systeem. De kwetsbaarheid met kenmerk CVE-2020-16862 stelt een
   kwaadwillende in staat om willekeurige code in de context van het
   SQL service account uit te voeren. Beide kwetsbaarheden ontstaan
   door een onjuiste validatie op invoerdata van de gebruiker.

   Hieronder staat een overzicht van de verschillende kwetsbaarheden
   beschreven per component met de CVSS-score.

   Microsoft Dynamics:
   |----------------|------|-------------------------------------|
   | CVE-ID         | CVSS | Impact                              |
   |----------------|------|-------------------------------------|
   | CVE-2020-16857 | 7,10 | Uitvoeren van willekeurige code     |
   | CVE-2020-16858 | 5,40 | Cross-Site-Scripting (XSS)          |
   | CVE-2020-16859 | 5,40 | Cross-Site-Scripting (XSS)          |
   | CVE-2020-16860 | 6,80 | Uitvoeren van willekeurige code     |
   | CVE-2020-16861 | 5,40 | Cross-Site-Scripting (XSS)          |
   | CVE-2020-16862 | 7,10 | Uitvoeren van willekeurige code     |
   | CVE-2020-16864 | 5,40 | Cross-Site-Scripting (XSS)          |
   | CVE-2020-16872 | 7,60 | Cross-Site-Scripting (XSS)          |
   | CVE-2020-16878 | 5,40 | Cross-Site-Scripting (XSS)          |
   | CVE-2020-16871 | 5,40 | Cross-Site-Scripting (XSS)          |
   |----------------|------|-------------------------------------|

Mogelijke oplossingen
   Microsoft heeft updates beschikbaar gesteld waarmee de beschreven
   kwetsbaarheden worden verholpen. We raden u aan om deze updates te
   installeren. Meer informatie over de kwetsbaarheden, de installatie
   van de updates en eventuele work-arounds vindt u op:

   https://portal.msrc.microsoft.com/en-us/security-guidance

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8
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=Enct
-----END PGP SIGNATURE-----