12月19日IBM发布安全公告,指出商业智能分析组件Cognos Analytics存在漏洞CVE-2024-40695、CVE-2024-51466,攻击者有机会借由具备特殊权限的用户上传恶意文件,或是借由表达式语言(Expression Language,EL)注入攻击,远程暴露敏感资讯及特定资源,影响12.0.0至12.0.4版、11.2.0至11.2.4 FP4版,该公司发布更新程序修补。
根据CVSS风险评分,达到重大层级的表达式语言注入漏洞CVE-2024-51466需特别当心,攻击者能够远程利用伪造的表达式语言声明(statement)触发这项漏洞,从而暴露敏感资讯、耗尽内存资源,甚至有机会造成服务器宕机,CVSS风险评分为9.0(满分10分)。
另一个漏洞CVE-2024-40695,则是属于上传危险文件却不受限制的弱点类型,起因是此系统的网页界面并未验证上传文件的内容,一旦攻击者利用这项弱点上传恶意执行文件,就有机会传给受害者,从而发起进一步攻击行动,CVSS风险评为8.0分。
值得留意的是,IBM特别提及这些漏洞并无其他可用的缓解措施,呼吁用户应尽快套用相关更新。
