[Codebusters] Vulnerability in webcomponenten
Kleykens Sander
sander.kleykens at vlaanderen.be
Mon Apr 22 11:41:33 CEST 2024
Beste Roeland en Denis,
Er werd ontdekt dat onze webcomponenten dependencies als het ware 'gehijacked' kunnen worden door op https://www.npmjs.com<https://www.npmjs.com/>, als aanvaller, de packages te claimen en een eigen (hogere) versie te uploaden.
Als je een hoedje hebt staan voor de versie van een relevante package in je package.json, kan men op die manier een nieuwe patch version publishen naar npm js en de build op die manier dwingen om deze nieuwe versie te downloaden en gebruiken.
Ik denk dat TOBE vulnerable is vanwege zijn referentie naar een versie van uig-webcomponents met daarin een hoedje<https://git.omgeving.vlaanderen.be/git/righa/tobe/-/blob/master/tobe-app/src/main/frontend/package.json#L54>. In principe, als je het hoedje weglaat, is het in orde: want dan wordt enkel de versie die op artifactory staat gedownload.
Passen jullie dit aan (en eventueel ook nog op andere plaatsen), aub?
Alvast bedankt!
Met vriendelijke groeten,
Sander Kleykens
IT-consultant
DEPARTEMENT OMGEVING
Afdeling Strategie, Internationaal, Digitalisering en Organisatie (SIDO)
[cid:6add2df0-e3ce-4fa5-9723-ff30b5d78ec7]
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://list.milieuinfo.be/pipermail/codebusters/attachments/20240422/123ff3ef/attachment-0001.htm>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: Outlook-53ldfnk4.png
Type: image/png
Size: 19040 bytes
Desc: Outlook-53ldfnk4.png
URL: <http://list.milieuinfo.be/pipermail/codebusters/attachments/20240422/123ff3ef/attachment-0001.png>
More information about the Codebusters
mailing list