IBM Cognos Analytics漏洞CVE-2024-51466和CVE-2024-40695

IBM Cognos Analytics 是一个集成的商业智能套件，广泛应用于全球企业的决策和绩效跟踪，利用 AI 驱动的洞察分析更快做出更好决策。

IBM Cognos Analytics 是一种全面的商业智能（BI）解决方案，产品主要用于集成报告、分析、仪表板、案例、探索,、建模和其他功能。

一、基本情况

IBM Cognos Analytics 是一个由 AI 支持的商业智能平台，支持从发现到操作化的整个分析周期，可视化、分析和共享数据切实可行洞察。

IBM Cognos Analytics 提供可视化、分析和共享数据可行洞察，支持多云环境（公共云、私有云、本地环境和 IBM Cloud Pak for Data）。

栋科技漏洞库关注到IBM近期披露其Cognos Analytics平台中存在两个严重漏洞，漏洞分别被追踪为CVE-2024-51466和CVE-2024-40695。

二、漏洞分析

CVE-2024-51466

CVE-2024-51466是IBM Cognos Analytics 11.2.0到11.2.4 FP4和12.0.0到12.0.4版本存在的表达式语言（EL）注入漏洞，CVSS评分9.0。

该漏洞的存在，允许远程攻击者执行特制的EL语句，这可能导致敏感信息泄露、内存资源消耗过多的情况常出现，甚至导致服务器崩溃。

来自IBM官方的资产安全公报指出，攻击者可以利用这一漏洞来暴露敏感信息，消耗内存资源，或在使用特制EL语句时导致服务器崩溃。

CVE-2024-40695

CVE-2024-40695是IBM Cognos Analytics 11.2.0到11.2.4 FP4和12.0.0到12.0.4版本存在的Web界面文件验证不足漏洞，CVSS评分8.0。

该漏洞源于受影响版本没有验证上传到Web界面中的文件内容，使得特权用户能够上传恶意文件，因而使得系统易受恶意文件上传攻击。

该漏洞的存在，使得攻击者可以利用这一弱点将恶意的可执行文件上传到系统中，然后发送给受害者进行进一步的攻击，威胁不容小觑。

攻击者利用这一缺陷上传恶意可执行文件从而对系统造成更大威胁，这些文件被执行可能威胁系统完整性，并可能成为进一步攻击载体。

三、影响范围

11.2.0 <= IBM Cognos Analytics <= 11.2.4 FP4

12.0.0 <= IBM Cognos Analytics <= 12.0.4

四、修复建议

IBM Cognos Analytics >= 12.0.4 Interim Fix 1或11.2.4 FP5

五、参考链接

此处内容已隐藏，评论后刷新即可查看！