信息安全漏洞周报【第006期】

发布于 作者:

信息安全漏洞周报【第006期】

零零捌信安观察 银天信息 2025-01-20 02:12

点击蓝字 关注我们

零零捌信安观察近期注意到,国家信息安全漏洞共享平台(CNVD)及国家信息安全漏洞库(CNNVD)等权威机构发布了最新的安全公告。经过我们团队的分析和筛查,我们收录了以下被认定为风险的安全漏洞信息。

目前,相关官方机构已经发布了针对这些安全漏洞的补丁和修复方案。我们建议相关用户和组织及时关注并采取相应的安全措施,以确保信息系统的安全和稳定。

收录的漏洞详细信息如下:

1、IBM Cognos Analytics文件上传漏洞(CNVD-2025-0096859)

公开时间

2025-01-08

风险等级

高危

漏洞编号

CNVD-2025-00968

漏洞来源

CNVD

漏洞信息

漏洞描述
IBM Cognos Analytics是美国国际商业机器(IBM)公司的一套商业智能软件。该软件包括报表、仪表板和记分卡等,并可通过分析关键因素与关键人等内容,协助企业调整决策。

IBM Cognos Analytics存在文件上传漏洞,该漏洞源于未验证上传到Web界面的文件内容。攻击者可利用该漏洞上传恶意文件从而远程执行任意代码。

影响产品

IBM IBM Cognos Analytics >=11.2.0<=11.2.4 FP4

IBM IBM Cognos Analytics
>=12.0.0<=12.0.4

解决方案
厂商已发布了漏洞修复程序,请及时关注更新:

https://www.ibm.com/support/pages/node/7179496

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2024-40695

2、IBM Storage Scale SQL注入漏洞

公开时间

2025-01-08

风险等级

高危

漏洞编号

CNVD-2025-00970

漏洞来源

CNVD

漏洞信息

漏洞描述

IBM Storage Scale是美国国际商业机器(IBM)公司的一个存储解决方案,旨在帮助企业有效地管理和扩展存储资源,满足不断增长的数据存储需求。

IBM Storage Scale存在SQL注入漏洞,该漏洞源于应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。

影响产品

IBM IBM Storage Scale >=5.1.9.0<=5.1.9.6

IBM IBM Storage Scale >=5.2.0.0<=5.2.1.1

解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

https://www.ibm.com/support/pages/node/7178098
参考链接

https://nvd.nist.gov/vuln/detail/CVE-2024-31892

3、IBM Security Directory Integrator操作系统命令注入漏洞

****

公开时间

2025-01-08

风险等级

高危

漏洞编号

CNVD-2025-00969

漏洞来源

CNVD

漏洞信息

漏洞描述

IBM Security Directory Integrator是美国国际商业机器(IBM)公司的一个集成开发环境和运行时服务。

IBM Security Directory Integrator存在操作系统命令注入漏洞,该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。远程经过身份验证的攻击者可利用该漏洞通过发送特制的请求在系统上执行任意命令。
影响产品

IBM IBM Security Directory Integrator >=7.2.0<=7.2.0.13

IBM IBM Security Directory
Integrator >=10.0.0<=10.0.3
解决方案

厂商已发布了漏洞修复程序,请及时关注更新:

https://www.ibm.com/support/pages/node/7179558

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2024-28767

**技术支持:

400-996-5191 转 3

编辑:王斯鸣

校对:周晶晶

审核:李孔民