-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in IBM Security SiteProtector System Advisory ID : NCSC-2021-1011 Versie : 1.00 Kans : medium CVE ID : CVE-2020-4140, CVE-2020-4146 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high (Remote) code execution (Gebruikersrechten) Toegang tot gevoelige gegevens Toegang tot systeemgegevens Uitgiftedatum : 20211118 Toepassing : IBM Security SiteProtector System Versie(s) : 3.1.1 Platform(s) : Beschrijving IBM heeft twee kwetsbaarheden verholpen in SiteProtector. Een kwaadwillende kan de kwetsbaarheden misbruiken om willekeurige JavaScript code uit te voeren in de web-interface en zo mogelijk toegang te krijgen tot systeemgegevens of gevoelige gegevens, zoals credentials. De kwaadwillende dient hiervoor wel toegang te hebben tot de management-interface. Het is goed gebruik een dergelijke interface niet publiek toegankelijk te hebben. Mogelijke oplossingen IBM heeft updates uitgebracht om de kwetsbaarheden te verhelpen in Security Siteprotector 3.1.1.23. Voor meer informatie, zie: https://www.ibm.com/support/pages/node/6515056 https://www.ibm.com/support/pages/node/6515054 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBYZYkHeEs56R4sCd0AQqQigv/cPRgqBdICTea3xOnAmiL8VeorNXtsXNz wHRm7L3Wc4uFgDegMO9He70mwxXbOeRbwq0KW4Zb6Vg3F8Bkr9SfTUoM4ron4jES jcA1ccxGoec+05WICJS6wh0ymQVcbDJGjpvx0Wchku08hyybWtd2eiXAiPqWcUKA V2W2ysDTA8yj+0otAs9s2UGnudnU7ruv3irI/CTKQ8GsuBcO1mgxfFCSE2k7giU8 T/jLlgszKYeua/QHyIGBzPjIEinr+0BWON7IqJBsc4cT+hyRGNwhWz0+9HsEFplX Zyp6lyqrYylNZlW3XyG/0MCoDEZIUfmEU6lxbeth4T6KNW8iRxpeDmu3vFt1yig8 cVytP7Hx16zXv7Reax0vqbVwFehF7LKYUfBVJvjl/C5miYhC8RNuHgcT7H4Tv/Qt g7uwtS22zQhbcGSGc2aW3XXqx1QDoh0tWoUr5EkttU1ppjY5RwvGKEvWzIXdk1p0 9oM4mSt54xgCsuxmUEln6dU7ONjvgXLv =CTmO -----END PGP SIGNATURE-----