IBM Cognos Analytics の複数の脆弱性 (6986505)
critical Nessus プラグイン ID 175429
Language:
概要
リモート Web アプリケーションは、複数の脆弱性の影響を受けます。説明
リモートホストにインストールされている IBM Cognos Analytics のバージョンは、11.1.7 Fix Pack 7 より前の 11.1.x または FP1 11.2.4 より前の 11.2.x です。そのため、以下を含む複数の脆弱性による影響を受けます:- GNOME libxml2 では、xinclude.c の xmlXIncludeDoProcess() 関数のメモリ解放後使用 (use-after-free) の欠陥が原因で、リモートの攻撃者がシステム上で任意のコードを実行する可能性があります。特別に細工されたファイルを送信することで、攻撃者がこの脆弱性を悪用して、システムで任意のコードを実行する可能性があります。(CVE-2021-3518)
- Node.js では、providers.dll の DLL 検索順序ハイジャックが原因で、ローカルの攻撃者がシステム上で昇格した権限を取得する可能性があります。攻撃者が特別に細工されたファイルを配置することで、この脆弱性を悪用して権限を昇格する可能性があります。(CVE-2022-32223)
- Node.js でマークされたモジュールは、inline.reflinkSearch の正規表現のサービス拒否 (ReDoS) の欠陥が原因で発生する、サービス拒否に対して脆弱です。リモートの攻撃者が、特別に細工された正規表現の入力を送信することで、この脆弱性を悪用してサービス拒否状態を引き起こす可能性があります。(CVE-2022-21681)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
IBM Cognos Analytics 11.1.7 FP7、11.2.4 FP1 またはそれ以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Critical
ID: 175429
ファイル名: ibm_cognos_6986505.nasl
バージョン: 1.2
タイプ: remote
ファミリー: CGI abuses
公開日: 2023/5/12
更新日: 2023/7/27
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5.6
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2021-3518
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
CVSS スコアのソース: CVE-2022-39135
脆弱性情報
CPE: cpe:/a:ibm:cognos_analytics
必要な KB アイテム: installed_sw/IBM Cognos Analytics
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2023/5/5
脆弱性公開日: 2023/5/5
参照情報
CVE: CVE-2015-5237, CVE-2021-22569, CVE-2021-3516, CVE-2021-3518, CVE-2021-39036, CVE-2022-21680, CVE-2022-24434, CVE-2022-24728, CVE-2022-24729, CVE-2022-31129, CVE-2022-3171, CVE-2022-32212, CVE-2022-32213, CVE-2022-32214, CVE-2022-32215, CVE-2022-32223, CVE-2022-34165, CVE-2022-35255, CVE-2022-35256, CVE-2022-38900, CVE-2022-39135, CVE-2022-41881, CVE-2022-43548, CVE-2022-45061
IAVB: 2023-B-0032-S