NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid verholpen in Drupal
Advisory ID     : NCSC-2020-0516
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2020-13665
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : medium
                  Omzeilen van beveiligingsmaatregel
Uitgiftedatum   : 20200629
Toepassing      : Drupal CMS
Versie(s)       :
Platform(s)     :

Beschrijving
   Er is een kwetsbaarheid verholpen in Drupal. De kwetsbaarheid stelt
   een kwaadwillende met gebruikersrechten en (beperkte) toegang tot de
   JSON-API mogelijk in staat PATCH-calls uit te voeren zonder dat de
   kwaadwillende hiervoor de benodigde rechten heeft. De kwaadwillende
   kan hiermee aanpassingen doen aan content die op de kwetsbare
   webapplicatie aanwezig is.

   In een standaardinstallatie van Drupal is de JSON-API ingesteld als
   read-only. Standaardinstallaties zijn daardoor niet kwetsbaar.

   Er zijn weinig inhoudelijke details over de kwetsbaarheid
   publiekelijk beschikbaar gesteld.

Mogelijke oplossingen
   De ontwikkelaars van Drupal hebben updates uitgebracht om de
   kwetsbaarheid te verhelpen in Drupal 8.8.8, 8.9.1 en 9.0.1. Voor
   meer informatie, zie:

   https://www.drupal.org/sa-core-2020-006

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 502)
Charset: utf-8
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=vgqT
-----END PGP SIGNATURE-----