Cognos Controller
Уязвимости
70
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01881
Распределение по критичности
Критический
8
Высокий
23
Средний
31
Низкий
8
Затронутые диапазоны версий
11.0.0–11.0.111.0.0–11.0.1.411.0.0–11.0.1.7
Также сопоставлено как (исходные строки): cognos_controller,controller,cognos controller
Топ уязвимостей
CVE-2024-40691IBM Cognos Controller 11.0.0 и 11.0.1 может быть уязвим для вредоносной загрузки файлов из-за отсутствия проверки содержимого файла, загруженного в веб-интерфейс. Злоумышленники могут воспользоваться этой уязвимостью и загрузить вредоносные исполняемые файлы в систему, и их можно отправить жертве для выполнения дальнейших атак.
CVE-2024-25020IBM Cognos Controller 11.0.0 и 11.0.1 уязвим для загрузки вредоносных файлов, поскольку позволяет вложения файлов неограниченного типа на странице записи журнала. Злоумышленники могут использовать эту слабость и загружать вредоносные исполняемые файлы в систему, которые могут быть отправлены жертвам для проведения дальнейших атак.
CVE-2024-25019IBM Cognos Controller 11.0.0 и 11.0.1 может быть уязвим для загрузки вредоносных файлов из-за отсутствия проверки типа файла, загружаемого в вложения записи журнала. Злоумышленники могут использовать эту слабость и загружать вредоносные исполняемые файлы в систему, которые могут быть отправлены жертвам для проведения дальнейших атак.
CVE-2023-38724IBM Cognos Controller 10.4.1, 10.4.2 и 11.0.0 уязвим для SQL-инъекций. Удаленный злоумышленник может отправлять специально созданные SQL-запросы, которые могут позволить злоумышленнику просматривать, добавлять, изменять или удалять информацию в серверной базе данных. IBM X-Force ID: 262183.
CVE-2020-4879IBM Cognos Controller 10.4.0, 10.4.1 и 10.4.2 может позволить удаленному злоумышленнику обойти ограничения безопасности, вызванные неправильной проверкой файлов cookie аутентификации. IBM X-Force ID: 190847.
CVE-2020-4877IBM Cognos Controller 10.4.0, 10.4.1 и 10.4.2 может быть уязвим для несанкционированных изменений с использованием открытых полей в открытых классах. IBM X-Force ID: 190843.
BDU:2022-03017Уязвимость программного решения, поддерживающего процесс закрытия, консолидации и составления отчетов IBM Cognos Controller связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2022-03013Уязвимость программного решения, поддерживающего процесс закрытия, консолидации и составления отчетов IBM Cognos Controller связана с недостатками механизма авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации в результате использования открытых полей в открытых классах
CVE-2024-52902IBM Cognos Controller 11.0.0 до 11.0.1 FP3 и клиентское приложение IBM Controller 11.1.0 содержат жестко закодированные пароли базы данных в исходном коде, которые могут быть использованы для несанкционированного доступа к системе.
CVE-2024-28777IBM Cognos Controller 11.0.0 до 11.0.1 FP3 и IBM Controller 11.1.0 уязвимы к неограниченной десериализации. Эта уязвимость позволяет пользователям выполнять произвольный код, повышать привилегии или вызывать атаки отказа в обслуживании, используя неограниченную десериализацию типов в приложении.
CVE-2023-40695IBM Cognos Controller 10.4.1, 10.4.2 и 11.0.0 не делает сеанс недействительным после выхода из системы, что может позволить аутентифицированному пользователю выдавать себя за другого пользователя в системе. IBM X-Force ID: 264938.
BDU:2025-02143Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller связана с недостатками механизма десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии, выполнить произвольный код или вызвать отказ в обслуживании
BDU:2025-02075Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller связана с использованием жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
CVE-2024-40702IBM Cognos Controller с 11.0.0 по 11.0.1 и IBM Controller 11.1.0 могут позволить неавторизованному пользователю получать действительные токены для получения доступа к защищенным ресурсам из-за неправильной проверки сертификатов.
CVE-2023-47160IBM Cognos Controller 11.0.0 до 11.0.1 FP3 и IBM Controller 11.1.0
уязвимы к атаке XML External Entity Injection (XXE) при обработке XML-данных. Удаленный злоумышленник может использовать эту уязвимость для раскрытия конфиденциальной информации или потребления ресурсов памяти.
CVE-2020-4876IBM Cognos Controller 10.4.0, 10.4.1 и 10.4.2 уязвим для атаки XML External Entity Injection (XXE) при обработке XML-данных. Удаленный злоумышленник может использовать эту уязвимость для раскрытия конфиденциальной информации или потребления ресурсов памяти. IBM X-Force ID: 190839.
CVE-2020-4875IBM Cognos Controller 10.4.0, 10.4.1 и 10.4.2 уязвим для атаки XML External Entity Injection (XXE) при обработке XML-данных. Удаленный злоумышленник может использовать эту уязвимость для раскрытия конфиденциальной информации или потребления ресурсов памяти. IBM X-Force ID: 190838.
BDU:2025-02079Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить XXE-атаки
BDU:2025-00250Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller связана с некорректной проверкой сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
BDU:2022-03027Уязвимость программного решения, поддерживающего процесс закрытия, консолидации и составления отчетов IBM Cognos Controller связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию или использовать ресурсы памяти
BDU:2022-03026Уязвимость программного решения, поддерживающее процесс закрытия, консолидации и составления отчетов IBM Cognos Controller связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию или использовать ресурсы памяти
CVE-2024-45084IBM Cognos Controller 11.0.0 по 11.0.1 FP3 и IBM Controller 11.1.0
могут позволить аутентифицированному злоумышленнику проводить инъекцию формул. Злоумышленник может выполнять произвольные команды в системе, что происходит из-за неправильной проверки содержания файлов.
BDU:2025-02076Уязвимость программных решений, поддерживающих процесс закрытия, консолидации и составления отчетов IBM Cognos Controller и IBM Controller связана c недостатками механизма десериализации данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды
CVE-2025-36326IBM Cognos Controller 11.0.0 - 11.0.1 и IBM Controller 11.1.0 - 11.1.1 уязвимы к раскрытию конфиденциальной информации из-за использования жестко закодированных криптографических ключей для подписи сессионных куки [1].
IBM рекомендует устранить уязвимость, применив доступное временное исправление. Необходимо загрузить скрипт с Fix Central, запустить его с правами администратора и перезапустить службу IBM Controller Web UI.
Источники:
- [1] https://www.ibm.com/support/pages/node/7246015
CVE-2024-41777IBM Cognos Controller 11.0.0 и 11.0.1 содержит жестко запрограммированные учетные данные, такие как пароль или криптографический ключ, которые он использует для собственной входящей аутентификации, исходящей связи с внешними компонентами или шифрования внутренних данных.