PT-2020-17985 · Ibm+1 · Ibm Cognos Analytics+1
Publicado
2020-10-12
·
Atualizado
2021-07-21
·
CVE-2020-4302
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
IBM Cognos Analytics, versões 11.0 a 11.1
Descrição
A vulnerabilidade permite que um invasor remoto execute código arbitrário no sistema devido a uma injeção de CSV. Isso pode ser explorado persuadindo a vítima a abrir um arquivo do Excel especialmente criado, o que poderia, então, executar código arbitrário no sistema.
Recomendações
Para as versões 11.0 a 11.1 do IBM Cognos Analytics, considere evitar o uso de arquivos CSV de fontes não confiáveis até que uma correção esteja disponível.
Como solução alternativa temporária, restrinja o acesso a arquivos Excel de origens desconhecidas para minimizar o risco de exploração.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Office Excel
Ibm Cognos Analytics