<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Aptos;
panose-1:2 11 0 4 2 2 2 2 2 4;}
@font-face
{font-family:"Segoe UI";
panose-1:2 11 5 2 4 2 4 2 2 3;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
font-size:10.0pt;
font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
span.EmailStyle19
{mso-style-type:personal-reply;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;
mso-ligatures:none;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="en-BE" link="blue" vlink="purple" style="word-wrap:break-word">
<div class="WordSection1">
<p class="MsoNormal"><span lang="NL" style="font-size:11.0pt;mso-fareast-language:EN-US">Dag Sander,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="NL" style="font-size:11.0pt;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="NL" style="font-size:11.0pt;mso-fareast-language:EN-US">Ik heb onderstaande doorgestuurd naar onze front-end ontwikkelaars.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="NL" style="font-size:11.0pt;mso-fareast-language:EN-US">Probeer zo snel mogelijk je van een antwoord/timing te voorzien.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="NL" style="font-size:11.0pt;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="NL" style="font-size:11.0pt;mso-fareast-language:EN-US">Met vriendelijke groeten<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="NL" style="font-size:11.0pt;mso-fareast-language:EN-US">Denis<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<div id="mail-editor-reference-message-container">
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style="margin-bottom:12.0pt"><b><span style="font-size:12.0pt;color:black">From:
</span></b><span style="font-size:12.0pt;color:black">Kleykens Sander <sander.kleykens@vlaanderen.be><br>
<b>Date: </b>Monday, 22 April 2024 at 11:41<br>
<b>To: </b>Roeland Maes <roeland.maes@vito.be>, Denis Caeyers <denis.caeyers@vito.be><br>
<b>Cc: </b>Kevin PAUWELS <kevin.pauwels@vlaanderen.be>, Vanhoutte Piet <piet.vanhoutte@vlaanderen.be>, Codebusters@list.omgevingvlaanderen.be <codebusters@list.omgevingvlaanderen.be><br>
<b>Subject: </b>Vulnerability in webcomponenten<o:p></o:p></span></p>
</div>
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%;display:table;border-collapse:seperate;float:none">
<tbody>
<tr>
<td style="background:#A6A6A6;padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>
<td width="100%" style="width:100.0%;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 11.25pt">
<div>
<p class="MsoNormal" style="mso-element:frame;mso-element-frame-hspace:2.25pt;mso-element-wrap:around;mso-element-anchor-vertical:paragraph;mso-element-anchor-horizontal:column;mso-height-rule:exactly">
<span style="font-size:9.0pt;font-family:"Segoe UI",sans-serif;color:#212121">Sommige personen die dit bericht hebben ontvangen, ontvangen niet vaak e-mail van sander.kleykens@vlaanderen.be.
<a href="https://aka.ms/LearnAboutSenderIdentification">Meer informatie over waarom dit belangrijk is</a><o:p></o:p></span></p>
</div>
</td>
<td width="75" style="width:56.25pt;background:#EAEAEA;padding:5.25pt 3.75pt 5.25pt 3.75pt">
</td>
</tr>
</tbody>
</table>
<div>
<div>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Aptos",sans-serif;color:black">Beste Roeland en Denis,<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Aptos",sans-serif;color:black"><o:p> </o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Aptos",sans-serif;color:black">Er werd ontdekt dat onze webcomponenten dependencies als het ware 'gehijacked' kunnen worden door op
<a href="https://www.npmjs.com/">https://www.npmjs.com</a>, als aanvaller, de packages te claimen en een eigen (hogere) versie te uploaden. <o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Aptos",sans-serif;color:black">Als je een hoedje hebt staan voor de versie van een relevante package in je package.json, kan men op die manier een nieuwe patch version publishen naar npm js en
de build op die manier dwingen om deze nieuwe versie te downloaden en gebruiken.<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Aptos",sans-serif;color:black">Ik denk dat TOBE vulnerable is vanwege zijn
<a href="https://git.omgeving.vlaanderen.be/git/righa/tobe/-/blob/master/tobe-app/src/main/frontend/package.json#L54" title="https://git.omgeving.vlaanderen.be/git/righa/tobe/-/blob/master/tobe-app/src/main/frontend/package.json#L54">
referentie naar een versie van uig-webcomponents met daarin een hoedje</a>. In principe, als je het hoedje weglaat, is het in orde: want dan wordt enkel de versie die op artifactory staat gedownload.<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Aptos",sans-serif;color:black"><o:p> </o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Aptos",sans-serif;color:black">Passen jullie dit aan (en eventueel ook nog op andere plaatsen), aub?<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Aptos",sans-serif;color:black">Alvast bedankt!<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Aptos",sans-serif;color:black"><o:p> </o:p></span></p>
</div>
<div>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Aptos",sans-serif;color:black"><o:p> </o:p></span></p>
</div>
<div id="Signature">
<p><span style="font-size:11.0pt;color:black">Met vriendelijke groeten,</span><span style="font-size:12.0pt;color:#212121"><o:p></o:p></span></p>
<p><span style="font-size:12.0pt;color:#212121"><o:p> </o:p></span></p>
<p><b><span style="font-size:11.0pt;color:#ED7D31">Sander Kleykens</span></b><span style="font-size:11.0pt;color:#ED7D31"><br>
IT-consultant<br>
<br>
DEPARTEMENT <b>OMGEVING</b><br>
Afdeling Strategie, Internationaal, Digitalisering en Organisatie (SIDO)</span><span style="font-size:12.0pt;color:#212121"><o:p></o:p></span></p>
<div style="margin-top:11.0pt;margin-bottom:11.0pt">
<p class="MsoNormal"><span style="font-size:12.0pt;color:black"><img border="0" width="177" height="60" style="width:1.8437in;height:.625in" id="_x0000_i1025" src="cid:6add2df0-e3ce-4fa5-9723-ff30b5d78ec7"><o:p></o:p></span></p>
</div>
</div>
</div>
</div>
</div>
</div>
<font color="#999999" size="-2" face="Arial, Helvetica, sans-serif">VITO Disclaimer:
<a href="http://www.vito.be/e-maildisclaimer"><font color="#999999">http://www.vito.be/e-maildisclaimer</font></a></font>
<br>
</body>
</html>