IBM hat ein neues Security Bulletin veröffentlicht, das auf mehrere Sicherheitslücken in IBM Cognos Analytics hinweist. Die Schwachstellen betreffen sowohl direkt integrierte Open-Source-Komponenten wie idna, libxml2, OpenSSL und MathJax als auch Funktionen innerhalb der Cognos-Software selbst – darunter Cross-Site Scripting (XSS), Denial of Service (DoS) und ungeschützte Quelltextbereiche im Webserver.
Betroffene Versionen
Folgende Versionen sind anfällig:
- Cognos Analytics 12.0.0 bis 12.0.4
- Cognos Analytics 11.2.0 bis 11.2.4 IF3
Nicht betroffen ist:
- Cognos Analytics 12.1.0
Diese Version enthält bereits alle sicherheitsrelevanten Updates.
Schwachstellen im Detail
Die im Bulletin aufgeführten CVEs betreffen unter anderem:
- Denial-of-Service durch speicherintensive Anfragen (z.?B. CVE-2025-25032)
- Cross-Site Scripting (XSS) mit möglichem Zugriff auf vertrauliche Sitzungsinformationen (CVE-2025-0917)
- Offenlegung von Webquellcode, der Angriffe erleichtern könnte (CVE-2025-0923)
- Fehler in Drittbibliotheken wie libxml2 (CVE-2024-25062) und OpenSSL (CVE-2024-4603)
Die Risikobewertung reicht bis zu CVSS 7.5 (hoch).
Verfügbare Fixes
Für die betroffenen Versionen stehen bereits Updates zur Verfügung:
| Version | Empfohlener Fix |
|---|---|
| 12.0.0 – 12.0.4 | 12.0.4 Fix Pack 1 |
| 11.2.0 – 11.2.4 IF3 | 11.2.4 IF4 oder IF5 |
Download FixCentral:
QUELLE: //www.ibm.com/support/pages/node/7234674?myns=swgother&mynp=OCSSEP7J&mync=E&cm_sp=swgother-
