PT-2024-28988 · Ibm · Ibm Cognos Analytics
Publicado
2024-12-20
·
Atualizado
2025-07-02
·
CVE-2024-40695
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
IBM Cognos Analytics, versões 11.2.0 a 11.2.4 FP4
IBM Cognos Analytics, versões 12.0.0 a 12.0.4
Descrição
O problema está relacionado a uma vulnerabilidade de envio de arquivos maliciosos, devido à falta de validação do conteúdo dos arquivos enviados para a interface web. Essa falha pode ser explorada por invasores para enviar arquivos executáveis maliciosos para o sistema, que podem então ser enviados às vítimas para ataques posteriores. A vulnerabilidade está associada ao envio ilimitado de arquivos de tipos perigosos, permitindo que um invasor remoto envie arquivos arbitrários.
Recomendações
Para as versões 11.2.0 a 11.2.4 FP4 do IBM Cognos Analytics, atualize para uma versão que inclua a correção para essa vulnerabilidade.
Para as versões 12.0.0 a 12.0.4 do IBM Cognos Analytics, atualize para uma versão que inclua a correção para esta vulnerabilidade.
Como solução alternativa temporária, considere restringir o upload de arquivos na interface web até que um patch esteja disponível.
Restrinja o acesso ao recurso de upload de arquivos para minimizar o risco de exploração.
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ibm Cognos Analytics