-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid verholpen in Exact Synergy Advisory ID : NCSC-2022-0785 Versie : 1.00 Kans : medium CVE ID : CVE-2022-45338 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : medium Cross-Site Scripting (XSS) (Remote) code execution (Gebruikersrechten) Uitgiftedatum : 20221216 Toepassing : Exact Synergy Enterprise Versie(s) : 267 < 267SP13 500 < 500SP6 Platform(s) : Beschrijving Er is een kwetsbaarheid verholpen in Exact Synergy Enterprise. De kwetsbaarheid stelt een kwaadwillende in staat om middels Cross-Site Scripting (XSS) willekeurige code uit te voeren onder de rechten van de gebruiker. Een kwaadwillende moet geauthenticeerd zijn om binnen de applicatie een profielfoto, in de vorm van een malafide .SVG bestand met JavaScript code, te uploaden. Vervolgens moet de kwaadwillende een slachtoffer verleiden om de malafide profielfoto te bekijken waardoor de JavaScript code wordt uitgevoerd. Mogelijke oplossingen Exact heeft updates uitgebracht om de kwetsbaarheid te verhelpen in Synergy Enterprise. Voor meer informatie, zie: Exact Synergy Enterprise - Product update 267 https://www.exactsoftware.com/docs /DocView.aspx?DocumentID=%7B97a4be55-1648-40c8-90a4-3837f99aea8d% 7D Exact Synergy Enterprise - Product update 500 https://www.exactsoftware.com/docs /DocView.aspx?DocumentID=%7B722a8ba0-1c6c-4cd5-acdd-769e9da5271c% 7D Voor meer informatie over de kwetsbaarheid, zie: https://gist.github.com/MaxRozendaal /633b34a4675b60caed736e5ffe28f272 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBY5xAtRypWqw/ZiuAAQppcQv/X3wWrhgMGnipW+tuYopQ8cKWtXBSNoPs 4m3WcFKN7DVzb6SfPRJ1zQxeCsysccL6WZDNPgzi7eNINE2wyD0UUU7QAlRYptxN gNfx7IQg8hI0vdLKsddqIBa4z/0+ud/asUsPylmoxSUhHotDhn4vxzMWFEy5NIi3 0LJ8OOee4gVwkYjsDkZU2t7bheDy1rYMo/9N5+hzSRNdTD/bazf38KKfQo+fiV9C 9RKaJlBCKNzNdDVu6Zf8YR57lDOOgSvG4+SUzyfrkPiEThPKOmSQr1J7TFBcJyzR DT4wmBly848gKxMoMs+aKTSHIp8npkr8X3Gnam5/+B2ew84QymPY7ZSC7bUpUYF3 kPwZK5B0q76siyWXrJnV1x4UF2ilainyqCgtwwkX0wfwoe7Rfnt8FGFE3ikIhm6s AwVOZUDNm+R5daIpY7roQ7zTzrqwNyQgLFZfZ0sUosB/iH368J8tTZO4fxMnwI+C R9yeX+SfWOmPjhg3WAF09rYWrMXUUN4b =C/In -----END PGP SIGNATURE-----