PT-2025-47897 · Ibm+1 · Ibm Db2+1

Ryotak

·

Publicado

2025-11-24

·

Atualizado

2025-11-24

·

CVE-2025-12740

CVSS v4.0

7.7

Alta

VetorAV:N/AC:H/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/U:Red
Nome do Software Vulnerável e Versões Afetadas Versões do Looker anteriores a 25.0.93 Versões do Looker anteriores a 25.6.84 Versões do Looker anteriores a 25.12.42 Versões do Looker anteriores a 25.14.50 Versões do Looker anteriores a 25.16.44
Descrição Um usuário com a função de Desenvolvedor pode criar uma conexão de banco de dados usando o driver IBM DB2 e, manipulando o LookML, fazer com que o Looker execute um comando malicioso. Isso ocorre devido à filtragem insuficiente dos parâmetros do driver. Este problema afeta tanto instâncias hospedadas pelo Looker quanto instâncias auto-hospedadas. O problema foi mitigado para instâncias hospedadas pelo Looker e não requer ação do usuário.
Recomendações Atualize instâncias auto-hospedadas para a versão 25.0.93 ou posterior. Atualize instâncias auto-hospedadas para a versão 25.6.84 ou posterior. Atualize instâncias auto-hospedadas para a versão 25.12.42 ou posterior. Atualize instâncias auto-hospedadas para a versão 25.14.50 ou posterior. Atualize instâncias auto-hospedadas para a versão 25.16.44 ou posterior.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2025-12740

Produtos afetados

Ibm Db2
Looker