Critical IBM Cognos Analytics Vulnerabilities Demand Urgent Patching
2025/05/06 SecurityOnline — IBM が公表したのは、主力 BI プラットフォーム Cognos Analytics に存在する、2件の深刻な脆弱性に対処するセキュリティ・アップデートをリリースである。同社のアドバイザリは、これらの脆弱性を悪用する攻撃者は、システムの侵害/機密データの漏洩/サーバー・クラッシュなどを引き起こす可能性があると警告している。
2件の脆弱性のうち、より深刻とされる CVE-2024-51466 (CVSS:9.0) は、式言語 (EL:Expression Language) インジェクションの脆弱性である。IBM は、「この脆弱性を悪用するリモートの攻撃者は、機密情報の漏洩/メモリ・リソースの過剰消費に加えて、特別に作成された EL 文によるサーバ・クラッシュなどを引き起こす可能性がある」と述べている。
この脆弱性を悪用する攻撃者は、Cognos サーバで処理される動的式 (dynamic expressions) を操作し、サービス拒否や内部データへの不正アクセスの可能性を手にする。
2件目の脆弱性 CVE-2024-40695 は、Web インターフェイス経由のファイル・アップロードに対する、不十分な検証に起因するものだ。IBM は、「この脆弱性を悪用する攻撃者は、悪意の実行型ファイルをシステムにアップロードし、それを被害者に送信することで、さらなる攻撃を可能にすると思われる」と警告している。
この脆弱性には、リモート・コード実行や二次的な攻撃チェーンの、引き金となる可能性がある。したがって、ソーシャル・エンジニアリングと組み合わせて悪用された場合には、深刻な脅威となる。CVSS ベース・スコアは 8.0 であり、深刻度 は High と評価されている。
この脆弱性は、以下の製品バージョンに影響する:
- IBM Cognos Analytics 12.0.0~12.0.4
- IBM Cognos Analytics 11.2.0~11.2.4 FP4
IBM が強調するのは、速やかにアップグレードの実施により、この脆弱性に対処することだ。影響を受けるバージョンを使用している、ユーザーに対して強く推奨されるのは、以下のパッチを速やかに適用してアップグレードすることである。
- IBM Cognos Analytics 12.0.4 Interim Fix 1
- IBM Cognos Analytics 11.2.4 FP5
IBM Cognos Analytics に、式言語 (EL:Expression Language) インジェクションの脆弱性とのことですが、ググってみたら「文書中に一つの式として表された短いプログラムコードを記述し、処理の実行に加えて、評価結果を埋め込んで表示する技術」と紹介されていました。機密情報の漏洩/メモリ・リソースの過剰消費などが引き起こされるようですので、ご利用のチームは、ご注意ください。よろしければ、IBM で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.