Beveiligingsadviezen en -beleid

Een beveiligingsadvies is een openbare aankondiging die wordt beheerd door het DXPR-team en die site-eigenaren informeert over een gerapporteerd beveiligingsprobleem in DXPR-producten en de stappen die site-eigenaren moeten nemen om dit op te lossen. (Meestal houdt dit in dat de code die het beveiligingsprobleem oplost, moet worden bijgewerkt naar een nieuwe release.) Het probleem wordt geheim gehouden totdat het advies klaar is om te worden vrijgegeven, waarna het online wordt gepubliceerd, zodat site-eigenaren het snel kunnen aanpakken.

Wanneer we een beveiligingsadvies publiceren, doen we dit op woensdag tussen 13.00 en 14.00 uur Amsterdamse tijd (GMT+1). Tegelijkertijd brengen we een beveiligingsupdate uit. U kunt al onze gepubliceerde beveiligingsadviezen vinden op onze pagina Beveiligingsadviezen .

 

Welke producten vallen onder de dekking?

Het DXPR-team behandelt DXPR Builder.

 

Hoe zit het met kwetsbaarheden waarvoor geavanceerde Drupal permissies nodig zijn?

Er is geen beveiligingsadvies vereist als voor een exploit een van de volgende permissies vereist is:

  • Edit with DXPR Builder
  • Administer filters
  • Administer users
  • Administer permissions
  • Translate interface
  • Elke andere permissie die is gedefinieerd met restrict access ingesteld op TRUE. Voor meer informatie over restrict access zie PermissionHandler.php voor Drupal 10 of hook_permission documentatie voor Drupal 7.

Elke gebruiker met een van de bovenstaande permissies kan de site al overnemen of verschillende toegangsbeperkingen op de site omzeilen. Er is dus geen  extra risico als een kwetsbaarheid alleen toegankelijk is voor een gebruiker met een van deze permissies.

DXPR Builder is ontworpen als een hulpmiddel voor marketing- en communicatieprofessionals om pagina's te bewerken en rijke inhoud toe te voegen. Daarom mag de toestemming "Bewerken met DXPR Builder" alleen aan vertrouwde gebruikers worden gegeven. Met DXPR Builder kunnen gebruikers eenvoudig embed aan een pagina toevoegen. Het gebrek aan filtering bij het gebruik van DXPR Builder is inherent aan het ontwerp.