<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Dag Denis,</div>

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Heb je hier al weet van ivm. timing?</div>

<div class="elementToProof" style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div id="Signature">

<div style="font-size:12pt;color:#000000;font-family:Calibri,Helvetica,sans-serif" dir="ltr" id="divtagdefaultwrapper">

</div>

<p style="direction: ltr; margin-right: 0px; margin-left: 0px; font-family: Calibri, sans-serif, serif, EmojiFont; font-size: 12pt; color: rgb(33, 33, 33);">

<span style="font-family: Calibri, Arial, Helvetica, sans-serif, serif, EmojiFont; font-size: 11pt; color: rgb(0, 0, 0);">Met vriendelijke groeten,</span><span style="font-size: 11pt; color: rgb(237, 125, 49);"><br>

</span></p>

<p style="direction: ltr; margin-right: 0px; margin-left: 0px; font-family: Calibri, sans-serif, serif, EmojiFont; font-size: 12pt; color: rgb(33, 33, 33);">

<span style="font-size: 11pt; color: rgb(237, 125, 49);"><br>

</span></p>

<p style="direction: ltr; margin-right: 0px; margin-left: 0px; font-family: Calibri, sans-serif, serif, EmojiFont; font-size: 12pt; color: rgb(33, 33, 33);">

<span style="font-size: 11pt; color: rgb(237, 125, 49);"><b>Sander Kleykens</b><br>

IT-consultant<br>

<br>

DEPARTEMENT <b>OMGEVING</b><br>

Afdeling Strategie, Internationaal, Digitalisering en Organisatie (SIDO)</span></p>

<div style="direction: ltr; margin-top: 14.6667px; margin-bottom: 14.6667px; font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<img style="width: 177px; height: 60px; max-width: initial;" width="177" height="60" data-outlook-trace="F:1|T:1" src="cid:09158c26-43ff-4071-858f-bb5ee739e810"><br>

</div>

</div>

<div id="appendonsend"></div>

<hr style="display:inline-block;width:98%" tabindex="-1">

<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>Van:</b> Denis Caeyers <denis.caeyers@vito.be><br>

<b>Verzonden:</b> maandag 22 april 2024 12:01<br>

<b>Aan:</b> Kleykens Sander <sander.kleykens@vlaanderen.be>; Roeland Maes <roeland.maes@vito.be><br>

<b>CC:</b> Pauwels Kevin <kevin.pauwels@vlaanderen.be>; Vanhoutte Piet <piet.vanhoutte@vlaanderen.be>; Codebusters@list.omgevingvlaanderen.be <codebusters@list.omgevingvlaanderen.be><br>

<b>Onderwerp:</b> Re: Vulnerability in webcomponenten</font>

<div> </div>

</div>

<style>

<!--

@font-face

        {font-family:"Cambria Math"}

@font-face

        {font-family:Calibri}

@font-face

        {font-family:Aptos}

@font-face

        {font-family:"Segoe UI"}

p.x_MsoNormal, li.x_MsoNormal, div.x_MsoNormal

        {margin:0cm;

        font-size:10.0pt;

        font-family:"Calibri",sans-serif}

a:link, span.x_MsoHyperlink

        {color:blue;

        text-decoration:underline}

span.x_EmailStyle19

        {font-family:"Calibri",sans-serif;

        color:windowtext}

.x_MsoChpDefault

        {font-size:10.0pt}

@page WordSection1

        {margin:72.0pt 72.0pt 72.0pt 72.0pt}

div.x_WordSection1

        {}

-->

</style>

<div lang="en-BE" link="blue" vlink="purple" style="word-wrap:break-word">

<div class="x_WordSection1">

<p class="x_MsoNormal"><span lang="NL" style="font-size:11.0pt">Dag Sander,</span></p>

<p class="x_MsoNormal"><span lang="NL" style="font-size:11.0pt"> </span></p>

<p class="x_MsoNormal"><span lang="NL" style="font-size:11.0pt">Ik heb onderstaande doorgestuurd naar onze front-end ontwikkelaars.</span></p>

<p class="x_MsoNormal"><span lang="NL" style="font-size:11.0pt">Probeer zo snel mogelijk je van een antwoord/timing te voorzien.</span></p>

<p class="x_MsoNormal"><span lang="NL" style="font-size:11.0pt"> </span></p>

<p class="x_MsoNormal"><span lang="NL" style="font-size:11.0pt">Met vriendelijke groeten</span></p>

<p class="x_MsoNormal"><span lang="NL" style="font-size:11.0pt">Denis</span></p>

<p class="x_MsoNormal"><span style="font-size:11.0pt"> </span></p>

<div id="x_mail-editor-reference-message-container">

<div>

<div style="border:none; border-top:solid #B5C4DF 1.0pt; padding:3.0pt 0cm 0cm 0cm">

<p class="x_MsoNormal" style="margin-bottom:12.0pt"><b><span style="font-size:12.0pt; color:black">From:

</span></b><span style="font-size:12.0pt; color:black">Kleykens Sander <sander.kleykens@vlaanderen.be><br>

<b>Date: </b>Monday, 22 April 2024 at 11:41<br>

<b>To: </b>Roeland Maes <roeland.maes@vito.be>, Denis Caeyers <denis.caeyers@vito.be><br>

<b>Cc: </b>Kevin PAUWELS <kevin.pauwels@vlaanderen.be>, Vanhoutte Piet <piet.vanhoutte@vlaanderen.be>, Codebusters@list.omgevingvlaanderen.be <codebusters@list.omgevingvlaanderen.be><br>

<b>Subject: </b>Vulnerability in webcomponenten</span></p>

</div>

<table class="x_MsoNormalTable" border="0" cellspacing="0" cellpadding="0" align="left" width="100%" style="width:100.0%; display:table; border-collapse:seperate; float:none">

<tbody>

<tr>

<td style="background:#A6A6A6; padding:5.25pt 1.5pt 5.25pt 1.5pt"></td>

<td width="100%" style="width:100.0%; background:#EAEAEA; padding:5.25pt 3.75pt 5.25pt 11.25pt">

<div>

<p class="x_MsoNormal" style=""><span style="font-size:9.0pt; font-family:"Segoe UI",sans-serif; color:#212121">Sommige personen die dit bericht hebben ontvangen, ontvangen niet vaak e-mail van sander.kleykens@vlaanderen.be.

<a href="https://aka.ms/LearnAboutSenderIdentification">Meer informatie over waarom dit belangrijk is</a></span></p>

</div>

</td>

<td width="75" style="width:56.25pt; background:#EAEAEA; padding:5.25pt 3.75pt 5.25pt 3.75pt">

</td>

</tr>

</tbody>

</table>

<div>

<div>

<p class="x_MsoNormal"><span style="font-size:12.0pt; font-family:"Aptos",sans-serif; color:black">Beste Roeland en Denis,</span></p>

</div>

<div>

<p class="x_MsoNormal"><span style="font-size:12.0pt; font-family:"Aptos",sans-serif; color:black"> </span></p>

</div>

<div>

<p class="x_MsoNormal"><span style="font-size:12.0pt; font-family:"Aptos",sans-serif; color:black">Er werd ontdekt dat onze webcomponenten dependencies als het ware 'gehijacked' kunnen worden door op

<a href="https://www.npmjs.com/" originalsrc="https://www.npmjs.com/" shash="hT836esopW8akhOTV8Tf/aWVvRNlJACEpDQfR2icA7d6vcVLCsuPwiqhARS3sAclee45SGcNbwgDtf1rlM2cNWLLFR6mIpVI/0Iim6O7DMwMKdIJfmz18Gv2okNRcZ2MPrZCoFHipJb31lifURECPNxLNUz2DB7Ksweg0hW+tdA=">

https://www.npmjs.com</a>, als aanvaller, de packages te claimen en een eigen (hogere) versie te uploaden. </span></p>

</div>

<div>

<p class="x_MsoNormal"><span style="font-size:12.0pt; font-family:"Aptos",sans-serif; color:black">Als je een hoedje hebt staan voor de versie van een relevante package in je package.json, kan men op die manier een nieuwe patch version publishen naar npm js

 en de build op die manier dwingen om deze nieuwe versie te downloaden en gebruiken.</span></p>

</div>

<div>

<p class="x_MsoNormal"><span style="font-size:12.0pt; font-family:"Aptos",sans-serif; color:black">Ik denk dat TOBE vulnerable is vanwege zijn

<a href="https://git.omgeving.vlaanderen.be/git/righa/tobe/-/blob/master/tobe-app/src/main/frontend/package.json#L54" originalsrc="https://git.omgeving.vlaanderen.be/git/righa/tobe/-/blob/master/tobe-app/src/main/frontend/package.json#L54" shash="T+eSukq8U0MSqGSObsimt/7BIojywneSC6UCBj7HpVluSM//8Jze/ise4rCB6S8Tz6jibtT1CCM5m/PccDlV4J5s0Q42MbAeDhxMbmTZVHs9ifcJ9xVMUD4SBCuBWepQu7WW0WeigfyMCP1g3k1DdlCG0HKoekNm9se/iXnopQk=" title="https://git.omgeving.vlaanderen.be/git/righa/tobe/-/blob/master/tobe-app/src/main/frontend/package.json#L54">

referentie naar een versie van uig-webcomponents met daarin een hoedje</a>. In principe, als je het hoedje weglaat, is het in orde: want dan wordt enkel de versie die op artifactory staat gedownload.</span></p>

</div>

<div>

<p class="x_MsoNormal"><span style="font-size:12.0pt; font-family:"Aptos",sans-serif; color:black"> </span></p>

</div>

<div>

<p class="x_MsoNormal"><span style="font-size:12.0pt; font-family:"Aptos",sans-serif; color:black">Passen jullie dit aan (en eventueel ook nog op andere plaatsen), aub?</span></p>

</div>

<div>

<p class="x_MsoNormal"><span style="font-size:12.0pt; font-family:"Aptos",sans-serif; color:black">Alvast bedankt!</span></p>

</div>

<div>

<p class="x_MsoNormal"><span style="font-size:12.0pt; font-family:"Aptos",sans-serif; color:black"> </span></p>

</div>

<div>

<p class="x_MsoNormal"><span style="font-size:12.0pt; font-family:"Aptos",sans-serif; color:black"> </span></p>

</div>

<div id="x_Signature">

<p><span style="font-size:11.0pt; color:black">Met vriendelijke groeten,</span><span style="font-size:12.0pt; color:#212121"></span></p>

<p><span style="font-size:12.0pt; color:#212121"> </span></p>

<p><b><span style="font-size:11.0pt; color:#ED7D31">Sander Kleykens</span></b><span style="font-size:11.0pt; color:#ED7D31"><br>

IT-consultant<br>

<br>

DEPARTEMENT <b>OMGEVING</b><br>

Afdeling Strategie, Internationaal, Digitalisering en Organisatie (SIDO)</span><span style="font-size:12.0pt; color:#212121"></span></p>

<div style="margin-top:11.0pt; margin-bottom:11.0pt">

<p class="x_MsoNormal"><span style="font-size:12.0pt; color:black"><img border="0" width="177" height="60" id="x__x0000_i1025" style="width:1.8437in; height:.625in" data-outlook-trace="F:1|T:1" src="cid:6add2df0-e3ce-4fa5-9723-ff30b5d78ec7"></span></p>

</div>

</div>

</div>

</div>

</div>

</div>

<font color="#999999" size="-2" face="Arial, Helvetica, sans-serif">VITO Disclaimer:

<a href="http://www.vito.be/e-maildisclaimer" originalsrc="http://www.vito.be/e-maildisclaimer" shash="U07ZBWzQFWzPJELwUY3Xfjv3EX4ltE+vGP4CBuwWKYuqTAq+lgO3yKig90ngZLkksATtnd+aPJ37/RWC3cm4HUs9ITMkVLL5B+tFCBybpbbzzFrWJIbaAUswcVoUcgL1qXCT70vtIPZkHevGu1JjzPNSCWV3bLAztnqFzBiKnYA=">

<font color="#999999">http://www.vito.be/e-maildisclaimer</font></a></font> <br>

</div>

</body>

</html>