IBMs Geschäftsdatenvisualisierungslösung Cognos Analytics ist verwundbar. Angreifer können an zwei Schwachstellen ansetzen, um Systeme zu attackieren. Sicherheitspatches stehen zum Download bereit.
In einem Beitrag führen die Entwickler aus, dass davon die Versionen 11.2.0 bis einschließlich 11.2.4 FP4 und 12.0.0 bis einschließlich 12.0.4 betroffen sind. Abhilfe schaffen die Sicherheitsupdates 11.2.4 FP5 und 12.0.4 Interim Fix 1.
An der "kritischen" Lücke (CVE-2024-51466) könne entfernte Angreifer mit einer präparierten Expression-Language-Anweisung ansetzen. Im Nachgang können sie auf sensible Informationen zugreifen. Es kann aber auch zu Abstürzen kommen.
Die zweite Schwachstelle (CVE-2024-40695 "hoch") betrifft die Uploadfunktion. Weil Daten vor dem Hochladen nicht ausreichend überprüft werden, können Angreifer mit Schadcode versehene ausführbare Dateien hochladen, um Systeme zu kompromittieren.
Noch gibt es keine Berichte zu Angriffen. Admins sollten aber mit der Installation einer abgesicherten Version nicht zu lange zögern.