Beveiligingsadviezen en -beleid
Een beveiligingsadvies is een openbare aankondiging die wordt beheerd door het DXPR-team en die site-eigenaren informeert over een gemeld beveiligingsprobleem in DXPR-producten en de stappen die site-eigenaren moeten nemen om dit probleem op te lossen. (Meestal houdt dit in dat de code die het beveiligingsprobleem oplost, moet worden bijgewerkt naar een nieuwe release.) Het probleem wordt geheim gehouden totdat het advies klaar is om te worden vrijgegeven, waarna het breed wordt gepubliceerd, zodat site-eigenaren het snel kunnen oplossen.
Wanneer we een beveiligingsadvies publiceren, doen we dit op woensdag tussen 13.00 en 14.00 uur Amsterdamse tijd (GMT+1). Tegelijkertijd brengen we een beveiligingsupdate uit. U kunt al onze gepubliceerde beveiligingsadviezen vinden op onze pagina Beveiligingsadviezen .
Welke producten vallen onder de dekking?
Het DXPR-team behandelt DXPR Builder, DXPR Theme en tot 15 april 2021 komen onze oudere producten Glazed Builder en Glazed Theme aan bod.
Hoe zit het met kwetsbaarheden waarvoor geavanceerde machtigingen nodig zijn?
Er is geen beveiligingsadvies vereist als voor een exploit een van de volgende machtigingen vereist is:
- Bewerken met DXPR Builder
- Beheer filters
- Gebruikers beheren
- Beheer machtigingen
- Vertaalinterface
- Elke andere machtiging die is gedefinieerd met
restrict access
ingesteld op TRUE. Voor meer informatie overrestrict access
zie PermissionHandler.php voor Drupal 9 of hook_permission documentatie voor Drupal 7.
Elke gebruiker met een van de bovenstaande machtigingen kan de site al overnemen of verschillende toegangsbeperkingen op de site omzeilen. Er is dus geen betekenisvol extra risico als een kwetsbaarheid alleen toegankelijk is voor een gebruiker met een van deze machtigingen.
DXPR Builder is ontworpen als een hulpmiddel voor marketing- en communicatieprofessionals om pagina's te bewerken en rijke inhoud toe te voegen. Daarom mag de toestemming "Bewerken met DXPR Builder" alleen aan vertrouwde gebruikers worden gegeven. Met DXPR Builder kunnen gebruikers eenvoudig insluitcodes aan een pagina toevoegen. Het gebrek aan filtering bij het gebruik van DXPR Builder is inherent aan het ontwerp.