IBM Cognos Analytics 多個弱點 (6986505)
critical Nessus Plugin ID 175429
語系:
概要
遠端 Web 應用程式受到多個弱點的影響。說明
遠端主機上安裝的 IBM Cognos Analytics 版本是 11.1.7 Fix Pack 7 之前的 11.1.x 版或 11.2.4 FP1 之前的 11.2.x 版。因此會受到包括以下在內的多個弱點影響:- GNOME libxml2 可允許遠端攻擊者在系統上執行任意程式碼,這是因為 xinclude.c 的 xmlXIncludeDoProcess() 函式中存在釋放後使用弱點所致。透過傳送特製的檔案,攻擊者可惡意利用此弱點,在系統上執行任意程式碼。(CVE-2021-3518)
- Node.js 可允許本機攻擊者在系統上取得提升的權限,這是因為 providers.dll 的 DLL 搜尋順序劫持所致。透過放置特製檔案,攻擊者可惡意利用此弱點來提升權限。(CVE-2022-32223)
- Node.js 標記的模組容易受到拒絕服務影響,這是因為 inline.reflinkSearch 中的規則運算式拒絕服務 (ReDoS) 缺陷所致。遠端攻擊者可藉由傳送特別構建的 Regex 輸入,利用此弱點造成拒絕服務情形。(CVE-2022-21681)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 IBM Cognos Analytics 11.1.7 FP7、11.2.4 FP1 或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 175429
檔案名稱: ibm_cognos_6986505.nasl
版本: 1.2
類型: remote
系列: CGI abuses
已發布: 2023/5/12
已更新: 2023/7/27
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5.6
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2021-3518
CVSS v3
風險因素: Critical
基本分數: 9.8
時間分數: 9.1
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:F/RL:O/RC:C
CVSS 評分資料來源: CVE-2022-39135
弱點資訊
CPE: cpe:/a:ibm:cognos_analytics
必要的 KB 項目: installed_sw/IBM Cognos Analytics
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2023/5/5
弱點發布日期: 2023/5/5
參考資訊
CVE: CVE-2015-5237, CVE-2021-22569, CVE-2021-3516, CVE-2021-3518, CVE-2021-39036, CVE-2022-21680, CVE-2022-24434, CVE-2022-24728, CVE-2022-24729, CVE-2022-31129, CVE-2022-3171, CVE-2022-32212, CVE-2022-32213, CVE-2022-32214, CVE-2022-32215, CVE-2022-32223, CVE-2022-34165, CVE-2022-35255, CVE-2022-35256, CVE-2022-38900, CVE-2022-39135, CVE-2022-41881, CVE-2022-43548, CVE-2022-45061
IAVB: 2023-B-0032-S