IBM, Cognos Analytics platformunda yeni keşfedilen iki, yüksek şiddetli güvenlik açıklarına hitap eden bir güvenlik bültenini yayınladı.
CVE-2024-40695 (kötü amaçlı dosya yüklemesi) ve CVE-2024-51466 (ifade dili enjeksiyonu) olarak izlenen bu kusurlar, kurumsal sistemleri yetkisiz dosya yüklemelerine ve hassas veri maruziyeti veya hizmet reddi saldırıları riskine maruz bırakır.
| CVE kimliği | Tanım | Şiddet | CVSS Puanı | Etkilenen sürümler |
| CVE-2024-40695 | Uygun olmayan dosya doğrulaması yoluyla kötü amaçlı dosya yüklemesi | Yüksek | 8.0 | 12.0.0–12.0.4, 11.2.0–11.2.4 fp4 |
| CVE-2024-51466 | İfade Dili (EL) enjeksiyonu, saldırganların hassas bilgileri ve çarpışma sunucusunu ortaya çıkarmasına izin verir | Eleştirel | 9.0 | 12.0.0–12.0.4, 11.2.0–11.2.4 fp4 |
Güvenlik açıklarının detayları
Kötü amaçlı dosya yüklemesi (CVE-2024-40695)
.png
)
Bu güvenlik açığı, Cognos Analytics web arayüzü aracılığıyla yüklenen dosyaların yetersiz doğrulanmasından kaynaklanmaktadır.
Ayrıcalıklı kullanıcılar, platform tarafından işlendiğinde saldırganların kötü amaçlı kod yürütmesine veya şüphesiz kullanıcılara karşı daha fazla saldırı gerçekleştirmesine izin verebilecek tehlikeli veya yürütülebilir içerikli dosyaları yükleyebilir.
Kusur, Cognos Analytics sürümlerini 12.0.0 ila 12.0.4 ve 11.2.0 ila 11.2.4 FP4’ü etkiler. Yüksek riskinin altını çizen 8.0 CVSS taban skoruna sahiptir.
İfade Dili Enjeksiyonu (CVE-2024-51466)
Daha şiddetli bir kusur olan bu sorun, uzak saldırganların keyfi ifade dili (EL) ifadeleri enjekte etmelerini sağlar.
Kullanıldığında, hassas veri maruziyetine, aşırı bellek tüketimi ve sunucu çökmesine yol açarak önemli bir bozulmaya neden olabilir. CVSS ölçeğinde 9.0 puan alan bu güvenlik açığı kritik kabul edilir.
Etkilenen ürünler ve versiyonlar
- IBM Cognos Analytics 12.0.0 ila 12.0.4
- IBM Cognos Analytics 11.2.0 ila 11.2.4 fp4
IBM, tüm müşterileri yazılımlarını hemen en son yama sürümlerine güncellemeye çağırıyor:
| Ürün | Savunmasız versiyonlar | Sabit versiyon |
| Cognos Analytics | 12.0.0–12.0.4 | 12.0.4 ara düzeltme 1 |
| Cognos Analytics | 11.2.0–11.2.4 fp4 | 11.2.4 FP5 |
Hiçbir geçici geçici çözüm veya hafifletme mevcut değildir-satıcı yaması tek çözümdür.
IBM Cognos Analytics’i kullanan kuruluşlar, yetkisiz erişim ve saldırı önlemek için bu güncellemelere öncelik vermelidir.
Güvenlik açıkları, analitik sistemlerin gizliliği, bütünlüğü ve mevcudiyeti ve bunların temel verileri için açık bir risk oluşturmaktadır.
SOC ekibini kurmak mı? -SOC ekibiniz için ücretsiz Ultimate SIEM Fiyatlandırma Kılavuzu’nu (PDF) indirin -> Ücretsiz İndir