Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- IBM Cognos Analytics versions 11.2.x antérieures à 11.2.3
- IBM Cognos Analytics versions 11.1.x antérieures à 11.1.7 Fix Pack 5
Résumé
De multiples vulnérabilités ont été découvertes dans IBM Cognos Analytics. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM 6615285 du 31 août 2022
https://www.ibm.com/support/pages/node/6615285 - Référence CVE CVE-2020-4301
https://www.cve.org/CVERecord?id=CVE-2020-4301 - Référence CVE CVE-2021-20468
https://www.cve.org/CVERecord?id=CVE-2021-20468 - Référence CVE CVE-2021-29823
https://www.cve.org/CVERecord?id=CVE-2021-29823 - Référence CVE CVE-2021-39009
https://www.cve.org/CVERecord?id=CVE-2021-39009 - Référence CVE CVE-2021-39045
https://www.cve.org/CVERecord?id=CVE-2021-39045 - Référence CVE CVE-2022-30614
https://www.cve.org/CVERecord?id=CVE-2022-30614 - Référence CVE CVE-2022-36773
https://www.cve.org/CVERecord?id=CVE-2022-36773 - Référence CVE CVE-2020-28469
https://www.cve.org/CVERecord?id=CVE-2020-28469 - Référence CVE CVE-2021-3807
https://www.cve.org/CVERecord?id=CVE-2021-3807 - Référence CVE CVE-2021-3749
https://www.cve.org/CVERecord?id=CVE-2021-3749 - Référence CVE CVE-2021-23438
https://www.cve.org/CVERecord?id=CVE-2021-23438 - Référence CVE CVE-2021-29418
https://www.cve.org/CVERecord?id=CVE-2021-29418 - Référence CVE CVE-2021-28918
https://www.cve.org/CVERecord?id=CVE-2021-28918 - Référence CVE CVE-2021-43797
https://www.cve.org/CVERecord?id=CVE-2021-43797 - Référence CVE CVE-2020-36518
https://www.cve.org/CVERecord?id=CVE-2020-36518 - Référence CVE CVE-2021-44533
https://www.cve.org/CVERecord?id=CVE-2021-44533 - Référence CVE CVE-2022-21824
https://www.cve.org/CVERecord?id=CVE-2022-21824 - Référence CVE CVE-2021-44531
https://www.cve.org/CVERecord?id=CVE-2021-44531 - Référence CVE CVE-2021-44532
https://www.cve.org/CVERecord?id=CVE-2021-44532 - Référence CVE CVE-2022-29078
https://www.cve.org/CVERecord?id=CVE-2022-29078 - Référence CVE CVE-2022-21803
https://www.cve.org/CVERecord?id=CVE-2022-21803