Kwetsbaarheid in MISP (Malware Information Sharing Platform) verholpen
De ontwikkelaars van het Malware Information Sharing Platform (MISP) hebben een persistente XSS-kwetsbaarheid verholpen.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid in MISP (Malware Information Sharing Platform) verholpen Advisory ID : NCSC-2017-0875 Versie : 1.00 Kans : medium CVE ID : CVE-2017-15216 (http://cve.mitre.org/cve/) Schade : medium Cross-Site Scripting (XSS) Uitgiftedatum : 20171011 Toepassing : CIRCL Malware Information Sharing Platform (MISP) Versie(s) : < 2.4.81 Platform(s) : Samenvatting De ontwikkelaars van het Malware Information Sharing Platform (MISP) hebben een persistente XSS-kwetsbaarheid verholpen. Gevolgen Een kwaadwillende kan de kwetsbaarheid misbruiken voor het uitvoeren van een Cross-Site Scripting (XSS) aanval. Een dergelijke aanval kan leiden tot de uitvoer van willekeurige scriptcode in de browser waarmee de applicatie wordt bezocht. Beschrijving - CVE-2017-15216 Er bevindt zich een persistente XSS-kwetsbaarheid in de code die quickDelete uitvoert. Deze kwetsbaarheid zit in de MISP-versies voor versie 2.4.81. Mogelijke oplossingen De makers van MISP hebben versie 2.4.79 beschikbaar gesteld die de kwetsbaarheid verhelpt. Meer informatie over de kwetsbaarheid en de nieuwe versie van het platform kunt u vinden op onderstaande pagina: https://www.misp.software/Changelog.txt Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.3.2 (Build 21495) Charset: utf-8 wsDVAwUBWd4kWChuEbXFfhL2AQhg4Av7B2zAN1Xd/q0GxJTYisK7X2HohO1M46Hk cT7OdQE+e1gCFMqOK9I47WXZlk5huWzUANHuhlY67Gc3bYqnsn7dhktrIqb+fPH4 Z/CsnROceVpHSomL0KMZdoRwIQadoB2fL+GlTeGhc1VLNBgJlg+nLqDFtbx/OUjN +JNwSPqGcjjovmGaprLXNsQMSbNaQMZaZO3pLJX1qGX+OpGv+mL9GA4mdiuxXV3G TBxFlqmSmkcTvz2EuUjF2UNVe4fblOZsWw2UYz7SFRt/X+8tdVij3cCIDtDjo7TO MUijQ832pmR8oQQb4LobrCagSuydmjPj+qvsZUGlZ7IBjltQr+CpBgGcqzf5Ys86 3iypcXcIc8WGC5tbU6hJJaIPe8z6/l24AlvYKOid+klrqIGb6Iw53X3G23KGdAym O9LTrsaDv+L9xgk5rQX9cdArT22UDed/tHLG4hi4pPs72lDrbQH5vXnvHS1PcdbD KxCl4bCc9tnaA0eP6cmv3XwBM6YB9OPG =e13z -----END PGP SIGNATURE-----