IBM hat am 12. Mai 2026 ein neues Security Bulletin für IBM Cognos Analytics veröffentlicht:
IBM Cognos Analytics is affected by multiple security vulnerabilities
Die kurze Antwort: Ja, man sollte das ernst nehmen – aber nicht in Panik verfallen.
Das Bulletin bedeutet nicht automatisch, dass eine Cognos-Umgebung kompromittiert ist. Es ist aber ein klares Signal, dass betroffene Installationen zeitnah aktualisiert werden sollten.
Welche Cognos-Versionen sind betroffen?
Laut IBM betrifft das Bulletin folgende Versionen:
| Betroffene Version | Empfohlene Zielversion |
|---|---|
| IBM Cognos Analytics 11.2.0 – 11.2.4 FP6 | IBM Cognos Analytics 11.2.4 Fix Pack 7 |
| IBM Cognos Analytics 12.0.0 – 12.0.4 FP1 | IBM Cognos Analytics 12.0.4 Fix Pack 2 |
| IBM Cognos Analytics 12.1.0 – 12.1.1 IF1 | IBM Cognos Analytics 12.1.2 |
Besonders wichtig: IBM nennt in diesem Bulletin keine Workarounds oder Mitigations.
Das bedeutet praktisch: Wer betroffen ist, sollte nicht auf eine Konfigurationsänderung als Ersatz hoffen, sondern das passende Fix Pack beziehungsweise Upgrade einplanen.
Wie kritisch ist das?
Das Bulletin enthält eine ganze Reihe von CVEs in Open-Source- und Laufzeitkomponenten, unter anderem Java, Jupyter, Flask-CORS, urllib3, logback, Apache Commons FileUpload und weiteren Bibliotheken.
Nicht jede dieser Schwachstellen ist in jeder Cognos-Installation gleich kritisch. Die tatsächliche Relevanz hängt stark davon ab, wie Cognos konkret betrieben wird:
- Ist Cognos nur intern oder auch extern erreichbar?
- Gibt es externe Nutzer, Partnerzugriffe oder Mandantenszenarien?
- Wie restriktiv sind Rollen, Capabilities und Administrationsrechte vergeben?
- Wer darf Inhalte erstellen, hochladen oder veröffentlichen?
- Gibt es eigene Extensions, Custom Visualizations oder eingebettete Inhalte?
- Welche Daten liegen in der Umgebung: Finance, HR, Vertrieb, personenbezogene Daten?
Aus Cognos-Sicht besonders relevant sind die direkt genannten XSS-Schwachstellen:
- CVE-2025-3633 – Cross-Site Scripting in IBM Cognos Analytics
- CVE-2025-36126 – Stored Cross-Site Scripting in Cognos Administration
Solche Schwachstellen können problematisch werden, weil sie innerhalb einer vertrauenswürdigen Cognos-Session wirken können. Je nach Rechten und Nutzungsszenario kann das zu Credential Disclosure, manipulierten Oberflächen oder unerwünschten Aktionen führen.
Einschätzung für den Betrieb
Für produktive Cognos-Umgebungen mit sensiblen Daten sollte das Bulletin als hoch priorisiertes Patch-Thema behandelt werden.
Das bedeutet nicht zwingend, dass man Systeme sofort abschalten muss. Es bedeutet aber sehr wohl:
- Version prüfen
- Betroffenheit feststellen
- Patchfenster einplanen
- Fix Pack oder Upgrade testen
- Produktivsystem aktualisieren
Besonders dringlich ist das, wenn Cognos über Internet, VPN, externe Portale oder viele unterschiedliche Nutzergruppen erreichbar ist.
Was sollte man jetzt konkret tun?
1. Cognos-Version prüfen
Zuerst sollte geklärt werden, ob die eigene Umgebung in den betroffenen Versionsbereich fällt. Das lässt sich je nach Installation über die Oberfläche, die Installationsinformationen oder die Systemdokumentation prüfen.
2. Zielversion festlegen
- 11.2.x ? mindestens 11.2.4 FP7
- 12.0.x ? mindestens 12.0.4 FP2
- 12.1.x ? mindestens 12.1.2
3. Nicht nur den Dispatcher betrachten
Bei Cognos sollte man die komplette Installation im Blick behalten:
- Content Manager
- Dispatcher
- Gateway und Webserver
- Jupyter-Komponenten
- Samples und Extensions
- Custom Visualizations
- SDK- oder Zusatzkomponenten
- Test-, Entwicklungs- und Produktionsumgebungen
4. Nach dem Update testen
Nach dem Update sollte mindestens ein Smoke Test durchgeführt werden:
- Login und SSO
- Reportausführung
- Dashboards
- Datenquellenverbindungen
- Scheduling
- Bursting und E-Mail-Versand
- Custom Visualizations
- Extensions
- Gateway und Reverse Proxy
5. Bis zum Patch Risiko reduzieren
Da IBM keine offiziellen Workarounds nennt, sind die folgenden Punkte nur flankierende Maßnahmen. Sie ersetzen das Update nicht:
- externe Erreichbarkeit prüfen und gegebenenfalls einschränken
- unnötige Adminrechte reduzieren
- Capabilities prüfen
- verdächtige neue Inhalte, Extensions oder Custom Visualizations prüfen
- Webserver-, Gateway- und Cognos-Logs beobachten
- nicht benötigte Test- oder Altsysteme abschalten beziehungsweise isolieren
Fazit
Wer eine betroffene IBM Cognos Analytics Version betreibt, sollte das Bulletin ernst nehmen und zeitnah patchen.
Es ist kein Grund für Panik, aber auch kein Thema, das man auf die lange Bank schieben sollte. Gerade Cognos-Umgebungen enthalten häufig geschäftskritische und sensible Daten. Wenn IBM keine Workarounds nennt, ist die sauberste Antwort: Upgrade beziehungsweise Fix Pack einplanen und installieren.
