CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-36126

MediumCVSS 6.4
Published: Updated: Translated: NVD NIST

Summary

IBM Cognos Analytics w wersjach 11.2.0, 12.0 i 12.1.0 oraz IBM Cognos Transformer w wersjach 12.0, 11.2.4 i 12.1.0 jest podatny na przechowywane ataki typu cross-site scripting (XSS) w administracji Cognos. Ta podatność pozwala uprzywilejowanemu użytkownikowi na osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia danych uwierzytelniających w zaufanej sesji.

Risk Assessment

Ryzyko dla organizacji polega na możliwości ujawnienia danych uwierzytelniających przez atakującego, co może prowadzić do nieautoryzowanego dostępu do systemów i danych. W konsekwencji może to narazić organizację na straty finansowe oraz reputacyjne.

Recommendation

Zaleca się aktualizację do najnowszej wersji IBM Cognos Analytics i IBM Cognos Transformer, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe kontrole bezpieczeństwa w celu monitorowania i ograniczenia dostępu do funkcji administracyjnych.

Original NVD description (English source)

IBM Cognos Analytics 11.2.0, 12.0, and 12.1.0 and IBM Cognos Transformer 12.0, 11.2.4, and 12.1.0 is vulnerable to stored cross-site scripting (XSS) in Cognos Adminstration. This vulnerability allows a privileged user to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS