12月19日IBM發布資安公告,指出商業智慧分析套件Cognos Analytics存在漏洞CVE-2024-40695、CVE-2024-51466,攻擊者有機會藉由具備特殊權限的使用者上傳惡意檔案,或是藉由表示式語言(Expression Language,EL)注入攻擊,遠端曝露敏感資訊及特定資源,影響12.0.0至12.0.4版、11.2.0至11.2.4 FP4版,該公司發布更新程式修補。
根據CVSS風險評分,達到重大層級的表示式語言注入漏洞CVE-2024-51466需特別當心,攻擊者能夠遠端利用偽造的表達式語言聲明(statement)觸發這項漏洞,從而曝露敏感資訊、耗盡記憶體資源,甚至有機會造成伺服器當機,CVSS風險評分為9.0(滿分10分)。
另一個漏洞CVE-2024-40695,則是屬於上傳危險檔案卻不受限制的弱點類型,起因是此系統的網頁介面並未驗證上傳檔案的內容,一旦攻擊者利用這項弱點上傳惡意執行檔,就有機會傳給受害者,從而發起進一步攻擊行動,CVSS風險評為8.0分。
值得留意的是,IBM特別提及這些漏洞並無其他可用的緩解措施,呼籲用戶應儘速套用相關更新。
熱門新聞
2025-01-30
2025-01-26
2025-01-27
2025-01-26
2025-01-27
2025-01-25
2025-01-26
Advertisement