NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheid verholpen in Discourse
Advisory ID     : NCSC-2021-0925
Versie          : 1.00
Kans            : high
CVE ID          : CVE-2021-41163
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : medium
                  (Remote) code execution (Gebruikersrechten)
Uitgiftedatum   : 20211025
Toepassing      : Discourse
Versie(s)       : < 2.7.9
Platform(s)     :

Beschrijving
   Er is een kwetsbaarheid verholpen in Discourse. Een
   ongeauthenticeerde kwaadwillende op afstand kan de kwetsbaarheid
   mogelijk misbruiken om willekeurige code uit te voeren onder de
   rechten van de applicatie. Hiertoe dient malafide netwerkverkeer
   naar het /webhooks/aws end-point te worden verstuurd. De
   kwetsbaarheid wordt veroorzaakt door onvoldoende inputvalidatie door
   de aws-sdk-sns gem die door Discourse wordt gebruikt.

Mogelijke oplossingen
   De ontwikkelaars van Discourse hebben beveiligingsupdates
   uitgebracht om de kwetsbaarheid te verhelpen. Daarnaast is een
   mitigerende maatregel gedeeld in de vorm van het blokkeren van
   netwerktoegang tot het /webhooks/aws end-point. Voor meer
   informatie, zie:

   https://github.com/discourse/discourse/security/advisories
      /GHSA-jcjx-pvpc-qgwq

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=FBtQ
-----END PGP SIGNATURE-----