PT-2021-3243 · Ibm · Ibm Cognos Analytics
Publicado
2021-05-31
·
Atualizado
2021-12-02
·
CVE-2020-4561
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
IBM Cognos Analytics, versões 11.0 a 11.1
Descrição
O problema está relacionado à inclusão de recursos de uma área controlada não confiável no serviço online do IBM Cognos Analytics. Isso poderia permitir que um invasor remoto comprometesse a confidencialidade, integridade e disponibilidade de informações protegidas. Um invasor remoto com acesso a um endpoint válido pode ler e gravar arquivos no sistema Cognos Analytics, uma vez que a API DQM permite o envio de todas as solicitações de controle em sessões não autenticadas.
Recomendações
Para as versões 11.0 a 11.1 do IBM Cognos Analytics, considere restringir o acesso à API DQM para impedir que sessões não autenticadas enviem solicitações de controle. Como solução alternativa temporária, limite a capacidade de ler e gravar arquivos no sistema Cognos Analytics até que uma correção esteja disponível.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ibm Cognos Analytics