-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in TYPO3
Advisory ID     : NCSC-2020-0948
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2020-26216, CVE-2020-26227, CVE-2020-26228,
                  CVE-2020-26229
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  Cross-Site Scripting (XSS)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20201118
Toepassing      : TYPO3
Versie(s)       : < 6.2.54 ELTS
                  < 7.6.48 ELTS
                  < 8.7.38 ELTS
                  < 9.5.23 LTS
                  < 10.4.10 LTS
Platform(s)     :

Beschrijving
   De TYPO3 Association heeft meerdere kwetsbaarheden verholpen in
   TYPO3. Een kwaadwillende op afstand kan de kwetsbaarheden mogelijk
   misbruiken voor het uitvoeren van een Cross-Site Scripting (XSS)
   aanval. Een dergelijke aanval kan leiden tot de uitvoer van
   willekeurige scriptcode in de browser waarmee de applicatie wordt
   bezocht.

   De kwetsbaarheid met kenmerk CVE-2020-26228 betreft het in
   plain-text opslaan van zogenaamde user session identifiers op de
   server. Deze kwetsbaarheid kan niet direct worden uitgebuit zonder
   misbruik van aanvullende kwetsbaarheden (zoals een SQL-injectie of
   remote code execution).

Mogelijke oplossingen
   De TYPO3 Association heeft updates uitgebracht om de kwetsbaarheden
   te verhelpen in TYPO3 6.2.54 ELTS, 7.6.48 ELTS, 8.7.38 ELTS, 9.5.23
   LTS en 10.4.10 LTS. Voor meer informatie, zie:

   https://typo3.org/article
      /typo3-10410-and-9523-security-releases-published

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=D9Rw
-----END PGP SIGNATURE-----