Katalog CVE

CVE-2025-36126

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

IBM Cognos Analytics w wersjach 11.2.0, 12.0 i 12.1.0 oraz IBM Cognos Transformer w wersjach 12.0, 11.2.4 i 12.1.0 jest podatny na przechowywane ataki typu cross-site scripting (XSS) w administracji Cognos. Ta podatność pozwala uprzywilejowanemu użytkownikowi na osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia danych uwierzytelniających w zaufanej sesji.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości ujawnienia danych uwierzytelniających przez atakującego, co może prowadzić do nieautoryzowanego dostępu do systemów i danych. W konsekwencji może to narazić organizację na straty finansowe oraz reputacyjne.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji IBM Cognos Analytics i IBM Cognos Transformer, aby usunąć tę podatność. Dodatkowo, warto wprowadzić dodatkowe kontrole bezpieczeństwa w celu monitorowania i ograniczenia dostępu do funkcji administracyjnych.

Oryginalny opis (angielski, źródło NVD)

IBM Cognos Analytics 11.2.0, 12.0, and 12.1.0 and IBM Cognos Transformer 12.0, 11.2.4, and 12.1.0 is vulnerable to stored cross-site scripting (XSS) in Cognos Adminstration. This vulnerability allows a privileged user to embed arbitrary JavaScript code in the Web UI thus altering the intended functionality potentially leading to credentials disclosure within a trusted session.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS