NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid verholpen in Drupal
Advisory ID     : NCSC-2020-0223
Versie          : 1.00
Kans            : medium
CVE ID          :
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : medium
                  Cross-Site Scripting (XSS)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20200319
Toepassing      : Drupal Drupal CMS
Versie(s)       : 8.8.x
                  8.7.x
Platform(s)     :

Beschrijving
   Drupal heeft updates uigebracht om kwetsbaarheden in de WYSIWYG
   CKEditor modules te verhelpen. Een kwaadwillende kan op een
   kwetsbaar systeem een Cross Site Scripting aanval uitvoeren.

Mogelijke oplossingen
   Drupal heeft updates uigebracht.
   Voor Drupal 8.8.x, upgrade naar Drupal 8.8.4.
   Voor Drupal 8.7.x, upgrade naar Drupal 8.7.12.

   Versies van Drupal 8 voor 8.7.x zijn end-of-life en krijgen derhalve
   geen updates.

   Drupal 7 core is niet kwetsbaar; Echter gebruikers die de
   third-party CKEditor library hebben geinstalleerd wordt geadviseerd
   te controleren dat deze minimaal versie 4.14 of hoger is en indien
   nodig bij te werken naar een niet kwetsbare versie.

   Het uitschakelen van de CKEditor module kan worden ingezet als
   mitigerende maatregel totdat de site is bijgewerkt.

   Voor meer informatie, zie:

   https://www.drupal.org/sa-core-2020-001

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8
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=JDFp
-----END PGP SIGNATURE-----