Beveiligingsadvies NCSC-2024-0474 [1.00] [M/H] Kwetsbaarheden verholpen in Drupal Core
Veiligheidsadvies: Verholpen Kwetsbaarheden in Drupal Core
In dit leerzame overzicht bespreken we de recente updates en verbeteringen in de beveiliging van Drupal Core waarmee kritieke kwetsbaarheden zijn aangepakt. Het is belangrijk op te merken dat de hieronder gepresenteerde informatie afkomstig is van de officiële beveiligingsadvisories. Voor de meest betrouwbare en gedetailleerde documentatie verwijzen we naar de PGP-ondertekende versies.
Belangrijkste Details
Publicatie Informatie:
- Versie: 1.00
- Uitgavedatum: Vandaag
- Referentiecode: NCSC-2024-0474
Risicobeoordeling:
- Kans: Medium
- Potentiële Schade: Hoog
Beschrijving van de Kwetsbaarheden
Drupal heeft meerdere beveiligingslekken geïdentificeerd en verholpen in versies 7.0 tot 7.102, 8.0.0 tot vóór 10.2.11, 10.3.0 tot vóór 10.3.9, en 11.0.0 tot vóór 11.0.8. Deze kwetsbaarheden zijn gerelateerd aan:
- Authentication Bypass by Alternate Name: Ongeautoriseerde toegang verkregen via alternatieve gebruikersnamen.
- Improper Neutralization of Input During Web Page Generation (Cross-site Scripting): Onvoldoende veilige invoerverwerking, leidend tot XSS-aanvallen.
- Improper Handling of Case Sensitivity: Ongevoeligheid voor hoofdlettergebruik kan beveiligingslekken veroorzaken.
- Improperly Controlled Modification of Dynamically-Determined Object Attributes: Ongecontroleerde objectattributen bieden mogelijkheden voor misbruik.
Deze problemen kunnen leiden tot privilege-escalatie en injecties, waardoor onbedoelde wijzigingen in de applicatie mogelijk zijn, inclusief toegang tot gevoelige gegevens.
Bereik van de Kwetsbaarheden
Platforms en Versies:
- Producten: Drupal Drupal, Open Source Drupal
- Betrokken Versies: 10.2.10 – 10.3.8, 11.0.5
Oplossingen
Om u te beschermen tegen de hierboven genoemde kwetsbaarheden, heeft Drupal beveiligingsupdates uitgebracht. Raadpleeg de volgende documentatie voor gedetailleerde informatie en download de nieuwste patches (deze links verwijzen u naar de officiële Drupal-updates en adviezen):
- Security Update – Core 2024-003
- Security Update – Core 2024-004
- Security Update – Core 2024-005
- Security Update – Core 2024-006
- Security Update – Core 2024-007
- Security Update – Core 2024-008
Geassocieerde CVE’s
De volgende CVE-referenties zijn uitgegeven voor deze kwetsbaarheden:
Het NCSC stelt deze informatie met de grootst mogelijke zorgvuldigheid samen. Toch kunnen aan dit beveiligingsadvies geen rechten worden ontleend en zijn noch het NCSC noch de Staat aansprakelijk voor eventuele schade die voortvloeit uit het gebruik van deze informatie. Op dit beveiligingsadvies is het Nederlandse recht van toepassing. Alle geschillen zullen worden voorgelegd aan de bevoegde rechter te Den Haag.
Door op de hoogte te blijven van de laatste beveiligingsupdates en aanbevelingen, kunt u uw systemen beschermen tegen potentiële bedreigingen. Zorg ervoor dat u regelmatig updates installeert en houd actieve monitoring en systeemonderhoud als prioriteiten in uw beveiligingsstrategie.
Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.
Mitigerende maatregel beschikbaar op advisories.ncsc.nl
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----