IBM Planning Analytics Workspace est considéré comme vulnérable à une vulnérabilité de téléchargement de fichiers malveillants qui pourrait permettre à un utilisateur privilégié de télécharger des fichiers malveillants pouvant être automatiquement traités dans le produit (CVE-2023-42017).
Cette vulnérabilité a été corrigée. IBM Planning Analytics Workspace est affecté mais n’est pas classé comme vulnérable, sur la base des informations actuelles, aux vulnérabilités de plusieurs composants tiers.
Ces composants tiers ont été supprimés ou mis à niveau vers des versions non vulnérables dans IBM Planning Analytics Workspace 2.0.92.
Détails de la vulnérabilité
CVEID : CVE-2023-46233
Description : Brix crypto-js pourrait permettre à un attaquant distant d’obtenir des informations sensibles, provoquées par l’utilisation d’un algorithme de hachage cryptographique faible. En utilisant des techniques d’attaque cryptographiques, un attaquant pourrait exploiter cette vulnérabilité pour obtenir des informations sensibles et utiliser ces informations pour lancer d’autres attaques contre le système affecté.
Score de base CVSS : 9,1
Score temporel CVSS : voir : https://exchange.xforce.ibmcloud.com/vulnerabilities/269753 pour le score actuel.
Vecteur CVSS : (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)
CVEID : CVE-2021-42740
DESCRIPTION : Nœud Le module shell-quote .js pourrait permettre à un attaquant distant d’exécuter des commandes arbitraires sur le système, en raison d’une faille dans l’expression régulière de la lettre de lecteur Windows. En envoyant des métacaractères shell spécialement conçus, un attaquant pourrait exploiter cette vulnérabilité pour exécuter des commandes arbitraires sur le système.
Score de base CVSS : 9,8
Score temporel CVSS : voir : https://exchange.xforce.ibmcloud.com/vulnerabilities/211858 pour le score actuel.
Vecteur CVSS : (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Gravité : 9.8
Nœud Le module shell-quote .js pourrait permettre à un attaquant distant d’exécuter des commandes arbitraires sur le système, en raison d’une faille dans l’expression régulière de la lettre de lecteur Windows. En envoyant des métacaractères shell spécialement conçus, un attaquant pourrait exploiter cette vulnérabilité pour exécuter des commandes arbitraires sur le système.
