NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in IBM Security
                  SiteProtector System
Advisory ID     : NCSC-2021-1011
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2020-4140, CVE-2020-4146
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: https://cve.mitre.org/cve/)
Schade          : high
                  (Remote) code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
                  Toegang tot systeemgegevens
Uitgiftedatum   : 20211118
Toepassing      : IBM Security SiteProtector System
Versie(s)       : 3.1.1
Platform(s)     :

Beschrijving
   IBM heeft twee kwetsbaarheden verholpen in SiteProtector. Een
   kwaadwillende kan de kwetsbaarheden misbruiken om willekeurige
   JavaScript code uit te voeren in de web-interface en zo mogelijk
   toegang te krijgen tot systeemgegevens of gevoelige gegevens, zoals
   credentials. De kwaadwillende dient hiervoor wel toegang te hebben
   tot de management-interface. Het is goed gebruik een dergelijke
   interface niet publiek toegankelijk te hebben.

Mogelijke oplossingen
   IBM heeft updates uitgebracht om de kwetsbaarheden te verhelpen in
   Security Siteprotector 3.1.1.23. Voor meer informatie, zie:

   https://www.ibm.com/support/pages/node/6515056
   https://www.ibm.com/support/pages/node/6515054

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=CTmO
-----END PGP SIGNATURE-----