IBM 披露其 Cognos Analytics 平台存在两个严重漏洞,可能危及敏感数据和系统完整性。这些漏洞被识别为 CVE-2024-51466 和 CVE-2024-40695,凸显了商业智能环境中的风险。

IBM Cognos Analytics 是一款集成的商业智能套件,可为企业环境提供报告、分析和监控功能。它为全球组织提供决策和性能跟踪工具。然而,该平台的普及使其成为复杂攻击的目标。

这些漏洞影响软件的 12.0.0 至 12.0.4 版本和 11.2.0 至 11.2.4 FP4 版本。IBM 强烈建议用户升级至 IBM Cognos Analytics 12.0.4 Interim Fix 1 或 11.2.4 FP5 以降低风险。

CVE-2024-51466:表达式语言注入(CVSS 9.0)

第一个漏洞是表达式语言 (EL) 注入漏洞,允许远程攻击者执行特制的 EL 语句。这可能导致敏感信息暴露、内存过度消耗,甚至服务器崩溃。

IBM 解释说:“当使用特制的 EL 语句时,远程攻击者可能利用这个漏洞暴露敏感信息、消耗内存资源和/或导致服务器崩溃。该漏洞的 CVSS 得分为 9.0,被视为严重漏洞。”

CVE-2024-40695: 恶意文件上传(CVSS 8.0)

第二个漏洞涉及网络接口中文件验证不足,使特权用户能够上传恶意文件。这些文件随后会被执行,对系统完整性构成威胁,并可能成为进一步攻击的载体。

IBM 对这一漏洞的描述是:“攻击者可以利用这一弱点,将恶意可执行文件上传到系统中,并将其发送给受害者,以实施进一步攻击。”

为了解决这些漏洞,IBM 发布了补丁程序,并强烈建议立即更新受影响的系统。遗憾的是,目前还没有针对这些问题的解决方法或缓解措施,因此及时补救至关重要。

文章原文链接:https://www.anquanke.com/post/id/302923