IBM vient de sortir un bulletin de sécurité pour une vulnérabilité (noté 6.2) concernant IBM Cognos Analytics et l’application mobile IBM Cognos Analytics Mobile (pour IOs). Des versions correctives viennent d’être mises à disposition.
IBM recommande fortement cette mise à jour.
Résumé
Une clé API exposée dans IBM Cognos Analytics pourrait permettre à un attaquant non autorisé d’envoyer des alertes de notification push non sollicitées aux applications clientes IBM Cognos Analytics Mobile.
IBM Cognos Analytics a corrigé le CVE applicable en révoquant la clé API exposée. La révocation de cette clé API entraînera l’arrêt des notifications push pour les utilisateurs mobiles des applications IBM Cognos Analytics Mobile et IBM Cognos Analytics Reports.
Ces correctifs incluent une nouvelle clé API cryptée qui sera nécessaire pour restaurer la fonctionnalité des notifications sur les appareils mobiles. Ces corrections sont disponibles dans les versions Cognos Analytics 12.0.3 IF2, 11.2.4 IF2 et IBM Cognos Analytics Reports (iOS) 11.0.0.7.
Vulnérabilité
CVEID : CVE-2024-40703
Gravité : (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) 6,2
Score temporel CVSS : voir : https://exchange.xforce.ibmcloud.com/vulnerabilities/298220 pour le score actuel.
Description
IBM Cognos Analytics pourrait permettre à un attaquant local d’obtenir des informations sensibles sous la forme d’une clé API.
Un attaquant pourrait utiliser ces informations pour lancer d’autres attaques contre les applications concernées.
Descriptifs complets de la vulnérabilité :
