CVE-2024-51466 (CVSS 9.0): Critical Vulnerability Found in IBM Cognos Analytics
2024/12/21 SecurityOnline — 統合型 BI (Business Intelligence) スイートである IBM Cognos Analytics に発見された、深刻な脆弱性 CVE-2024-51466/CVE-2024-40695 により、機密データやシステムの整合性が損なわれる可能性が生じている。これらの脆弱性が浮き彫りにするのは、BI 環境における深刻なリスクである。
IBM Cognos Analytics が、世界中の組織に対して提供しているのは、レポート作成/分析/モニタリングなどで構成される、企業環境における意思決定とパフォーマンスを追求するためのツールである。しかし、その人気のプラットフォームに、高度な攻撃の標的にされる可能性が生じている。
脆弱性 CVE-2024-51466/CVE-2024-40695 は、IBM Cognos Analytics のバージョン 12.0.0〜12.0.4/11.2.0〜11.2.4 FP4 に影響を及ぼす。リスクの軽減策として IBM が推奨するのは、12.0.4 Interim Fix 1/11.2.4 FP5 へと、速やかにアップグレードすることだ。
- CVE-2024-51466 (CVSS 9.0):Expression Language インジェクション
この脆弱性に関する IBM のアドバイザリでは、「この脆弱性を悪用するリモートの攻撃者は、特別に細工された EL (Expression Language) ステートメントを介して、機密情報の公開/メモリ・リソースの消費/サーバーのクラッシュなどの可能性を手にする。この脆弱性は、CVSS スコアが 9.0 であることから、その深刻度は重大であると判断される」と説明されている。
- CVE-2024-40695 (CVSS 8.0):悪意のファイルのアップロード
Web インターフェースにおける、不十分なファイル検証に起因する脆弱性。IBM の説明は、「この脆弱性を悪用する攻撃者は、悪意の実行ファイルをシステムにアップロードする可能性を手にする。続いて、それらの悪意のファイルを被害者に送信し、さらなる攻撃を引き起こす可能性を得る」と記されている。
すでに IBM は、パッチをリリースし、これらの脆弱性に対処している。ユーザーに対して推奨されるのは、修正済バージョンへの速やかなアップデートである。残念ながら、現時点において、これらの脆弱性に対する回避策/緩和策は存在しないため、迅速な修正が不可欠となる。
ビジネスの可視化において不可欠な BI (Business Intelligence) スイートの脆弱性が FIX しました。ご利用のチームは、ご注意ください。よろしければ、IBM で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.