CRITICAL🇬🇧 English

CVE-2024-51466

IBM Cognos Analytics — podatność Expression Language Injection (EL Injection)

CVSS 9.0v3.1pub. 2024-12-20upd. 2025-07-02

IBM Cognos Analytics w wersjach 11.2.0–11.2.4 FP4 oraz 12.0.0–12.0.4 jest podatny na wstrzyknięcie wyrażeń Expression Language (EL Injection). Zdalny atakujący może bez uwierzytelnienia doprowadzić do ujawnienia wrażliwych danych, wyczerpania zasobów pamięci lub całkowitego awarii serwera.

Pokaż oryginał (EN)

IBM Cognos Analytics 11.2.0 through 11.2.4 FP4 and 12.0.0 through 12.0.4 is vulnerable to an Expression Language (EL) Injection vulnerability. A remote attacker could exploit this vulnerability to expose sensitive information, consume memory resources, and/or cause the server to crash when using a specially crafted EL statement.

🤖 Analiza AI
Jak działa

Podatność (CWE-917) polega na możliwości wstrzyknięcia spreparowanego wyrażenia EL, które jest następnie interpretowane i wykonywane przez silnik aplikacji po stronie serwera. Atakujący wysyła specjalnie skonstruowane zapytanie zawierające złośliwe wyrażenie EL, omijając mechanizmy walidacji danych wejściowych. Wykonanie takiego wyrażenia może prowadzić do odczytu poufnych danych, nadmiernego zużycia pamięci lub doprowadzenia serwera do stanu odmowy usługi (crash).

Skutki

Atakujący może uzyskać dostęp do wrażliwych informacji przetwarzanych przez serwer, wyczerpać zasoby pamięci operacyjnej lub spowodować awarię (crash) serwera IBM Cognos Analytics, co skutkuje niedostępnością usługi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez IBM pod adresem: https://www.ibm.com/support/pages/node/7179496

Kogo dotyczy

IBM Cognos Analytics w wersjach 11.2.0 do 11.2.4 FP4 oraz 12.0.0 do 12.0.4

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
  • IBM Cognos Analytics

    APP
    Ibm
    11.2.412.0.411.2.0 – 11.2.4 (bez)12.0.0 – 12.0.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2021-38945CRITICAL9.8ten sam produkt

IBM Cognos Analytics 11.2.1, 11.2.0, and 11.1.7 could allow a remote attacker to upload arbitrary files, cause...

CVE-2020-4561CRITICAL10.0ten sam produkt

IBM Cognos Analytics 11.0 and 11.1 DQM API allows submitting of all control requests in unauthenticated sessio...

CVE-2020-4377CRITICAL9.1ten sam produkt

IBM Cognos Anaytics 11.0 and 11.1 is vulnerable to an XML External Entity Injection (XXE) attack when processi...

CVE-2025-25032HIGH7.5ten sam produkt

IBM Cognos Analytics 11.2.0, 11.2.1, 11.2.2, 11.2.3, 11.2.4, 12.0.0, 12.0.1, 12.0.2, 12.0.3, and 12.0.4 could ...

CVE-2024-49352HIGH7.1ten sam produkt

IBM Cognos Analytics 11.2.0, 11.2.1, 11.2.2, 11.2.3, 11.2.4, 12.0.0, 12.0.1, 12.0.2, 12.0.3, and 12.0.4 is vul...